Project Zero รายงานถึงช่องโหว่ของปลั๊กอิน Grammarly สำหรับเบราว์เซอร์โครม ทำให้เมื่อผู้ใช้เปิด editor บนเว็บใดๆ เว็บนั้นๆ จะสามารถดึงข้อมูลล็อกอินออกมาแล้วนำไปล็อกอินเว็บได้
Grammarly เป็นบริการตรวจไวยกรณ์ภาษาอังกฤษ โดยมันจะไปแทนที่ editor บนหน้าจอเว็บต่างๆ รวมถึงอีเมล เพื่อแสดงคำเตือนเมื่อพบการเขียนผิดรูปแบบต่างๆ ทำให้ Grammarly สามารถอ่านข้อความของผู้ใช้จำนวนมาก
ช่องโหว่เปิดทางให้เว็บสามารถวางสคริปต์เพื่ออ่านโทเค็น จากนั้นสามารถนำโทเค็นไปค้นหาเอกสารเก่าที่ผู้ใช้เคยพิมพ์ผ่าน Grammarly ได้ไม่ว่าจะพิมพ์บนเว้บใดๆ
ทาง Grammarly แก้ช่องโหว่นี้หลังได้รับแจ้งไม่กี่ชั่วโมง และตอนนี้ตัวปลั๊กอินก็มีเวอร์ชั่นอัพเดตแล้ว
ที่มา - Project Zero
Comments
อู้ววว... ผมใช้อยู่ซะด้วย รีบอัพเลยงานนี้
บล็อกส่วนตัวที่อัพเดตตามอารมณ์และความขยัน :P
บนเว้บใดๆ --> บนเว็บใดๆ