导读 根据一份错误报告,GrammarlyChrome扩展中的一个安全缺陷可能会无意中使用户的私有文档公开。谷歌Zero项目的研究员塔维斯奥曼迪说,Chrome
根据一份错误报告,GrammarlyChrome扩展中的一个安全缺陷可能会无意中使用户的私有文档公开。
谷歌Zero项目的研究员塔维斯奥曼迪说,Chrome扩展的漏洞允许任何网站访问用户的身份验证令牌,然后这些令牌提供了对他们的私人文档、历史和数据的访问。除了冒着个人信息的风险,如果黑客在语法编辑器中编辑,他们可能已经到达公司文档。
Ormandi在他的bug报告中说:“我称之为高度严重的bug,因为它似乎相当严重地违背了用户的期望。
这个由2200多万人安装的扩展可以用作从电子邮件到推特的语法检查。该bug只能访问已经上传并在语法编辑器中工作的文档。Ormandi发现触发缺陷只需要四行代码。
语法在周一发布了一个自动更新来纠正这个问题。Grammarly发言人表示,他们没有发现用户数据受损的证据。
公司可能希望重新检查公司设备上使用的扩展或处理公司文档时的安全策略,以确保一切安全。
影子这几年一直在涨,越来越多的员工自带软件和插件,没有先跑通IT。根据Netskope年4月的一份报告,云应用采用率的提升是其增长的原因之一。