1Password warnt derzeit vor zwei Sicherheitslücken in der Mac-Version des Passwortmanagers. Beide ermöglichen es Angreifern, auf geheime Daten zuzugreifen.

In 1Password 8 für Mac klaffen zwei Sicherheitslücken, die es Angreifern ermöglichen, Tresorelemente von MacOS-Nutzern abzugreifen. Wie der Anbieter des weit verbreiteten Passwortmanagers in Supportmitteilungen zu den beiden als CVE-2024-42218 und CVE-2024-42219 registrierten Schwachstellen erklärte, lassen sich zudem jeweils abgeleitete Werte exfiltrieren, die für die Anmeldung bei 1Password verwendet werden.

Damit ein Angriff gelingt, muss ein Angreifer allerdings bei beiden Lücken bereits in der Lage sein, auf dem Zielsystem eine eigene Software auszuführen. Möglich ist dies beispielsweise per Malware, die zuvor durch einen Phishing-Angriff oder unter Ausnutzung anderer Sicherheitslücken eingeschleust wurde.