Populaire browserextensie voor spellingcontrole dicht lek dat gegevens prijsgaf

De populaire browserextensie Grammarly heeft een lek gedicht dat websites in staat stelde gegevens zoals documenten en logbestanden uit te lezen. De extensie controleert grammatica en spelling. Het lek is gevonden door Google-onderzoeker Tavis Ormandy.

In zijn rapport, dat nu openbaar is, schrijft Ormandy dat Grammarly ongeveer 22 miljoen gebruikers heeft. Hij ontdekte dat de plug-in authenticatietokens blootstelde aan alle websites, waardoor een kwaadwillende als een bepaalde gebruiker kon inloggen bij de dienst. Als die gebruiker bijvoorbeeld bestanden had opgeslagen in de online editor van Grammarly, dan had de aanvaller hiertoe toegang. Ormandy noemt ook toegang tot de geschiedenis en logbestanden.

De Google onderzoeker merkt verder op dat het Grammarly-team zijn melding binnen enkele uren heeft opgepakt en met een oplossing voor de Chrome-versie van de extensie kwam. Kort daarna kwam er ook een update voor de Firefox-variant. Ormandy noemt dit een 'indrukwekkende responstijd'. Grammarly laat aan The Register weten niet op de hoogte te zijn van misbruik van de kwetsbaarheid en dat gebruikers geen actie hoeven te ondernemen.

Ormandy vindt vaker kwetsbaarheden in software van derden. Recentelijk richtte hij zich op zogenaamde dns rebinding-aanvallen, die hij vond in bittorrentclient Transmission en de Blizzard-updater.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 06-02-2018 07:25 9

06-02-2018 • 07:25

9

Lees meer

DeepL brengt gratis AI-schrijfhulpmiddel Write uit in bèta
DeepL brengt gratis AI-schrijfhulpmiddel Write uit in bèta Nieuws van 18 januari 2023
'Spellingscontrole Chrome en Edge stuurt gevoelige inlogdata door naar servers'
'Spellingscontrole Chrome en Edge stuurt gevoelige inlogdata door naar servers' Nieuws van 19 september 2022
Google dicht kwetsbaarheid in Chrome-browser die actief misbruikt wordt
Google dicht kwetsbaarheid in Chrome-browser die actief misbruikt wordt Nieuws van 7 maart 2019
Stylish-extensie verdwijnt uit Firefox en Chrome na bericht over datacollectie
Stylish-extensie verdwijnt uit Firefox en Chrome na bericht over datacollectie Nieuws van 5 juli 2018
Blizzard werkt aan patch voor lek in updater dat websites code laat uitvoeren
Blizzard werkt aan patch voor lek in updater dat websites code laat uitvoeren Nieuws van 23 januari 2018
Transmission-bittorrentclient werkt aan patch voor rce-lek
Transmission-bittorrentclient werkt aan patch voor rce-lek Nieuws van 16 januari 2018
Windows 10 installeerde een week lang automatisch onveilige wachtwoordmanager
Windows 10 installeerde een week lang automatisch onveilige wachtwoordmanager Nieuws van 17 december 2017
Cisco dicht opnieuw kritiek lek in populaire WebEx-extensie
Cisco dicht opnieuw kritiek lek in populaire WebEx-extensie Nieuws van 18 juli 2017
Microsoft dicht opnieuw door Google ontdekt Defender-lek
Microsoft dicht opnieuw door Google ontdekt Defender-lek Nieuws van 26 juni 2017
Microsoft dicht opnieuw door Google gevonden lek in eigen beveiligingssoftware
Microsoft dicht opnieuw door Google gevonden lek in eigen beveiligingssoftware Nieuws van 29 mei 2017
Microsoft verhelpt ernstige, door Google gevonden kwetsbaarheid in Defender
Microsoft verhelpt ernstige, door Google gevonden kwetsbaarheid in Defender Nieuws van 9 mei 2017
Meer producten en artikelen
Browsers Netwerk en systeembeheer Security

Reacties (9)

-Moderatie-faq
9
9
5
0
0
2
Wijzig sortering

Sorteer op:

Weergave:
Jack Flushell 6 februari 2018 07:29
Netjes dat het zo snel is opgepakt! Natuurlijk speelt daarbij een rol dat het probleem kennelijk eenvoudig op te lossen was, maar desniettemin wel snelle reactie, alert hoor!
Oerdond3r 6 februari 2018 12:17
Het is ontzettend jammer dat we meer van dit soort mensen nodig hebben, maar we hebben meer van dit soort mensen nodig.
Noxious 6 februari 2018 14:12
Tavis Ormandy is lekker bezig de laatste tijd - hij vind in razend tempo de ene na de andere issue in verschillende producten.
wcduck 6 februari 2018 09:23
Off-topic vraag, maar weet iemand een dergelijke extensie voor de Nederlandse taal? De spellings- en grammaticacontrole van Word laat met name steken liggen bij lidwoorden en de juiste vervoegingen van bijvoeglijke naamwoorden.
Euronitwit @wcduck6 februari 2018 10:34
De spellings- en grammaticacontrole van Word regelt niet de spellingscontrole van onder andere dit vak, waarin ik op jou reageer.
Dat heeft de Nederlandse versie van FireFox zelf ingebouwd.
Voor de Engelse taal moest ik een plug-in installeren.
wcduck @Euronitwit6 februari 2018 11:26
Ik bedoelde meer in algemene zin: is er spellings- en grammaticacontrole die de juiste lidwoorden en vervoegingen van bijvoeglijke naamwoorden aangeeft. Grammarly lijkt immers een behoorlijk capabele spellingscontrole. Het zou fijn zijn als er ook zoiets bestond in het Nederlands.
Ge Someone @Euronitwit6 februari 2018 14:29
Ik denk dat je bedoeld een extra woordenboek (dictionary). De functionaliteit zit al in de browswer. Toegegeven, het toevoegen van extra woordenboeken gaat vrijwel net zo als een extensie installeren.
Euronitwit @Ge Someone6 februari 2018 16:11
Als ik in FF een extra woordenboek wil installeren, dan moet ik die toch eerst via extra add-ons zoeken.
Later is die dan in een apart lijstje zichtbaar onder de link Add-ons.

Dan noem ik het een add-on (-dictionary) ;)
Honytawk @wcduck6 februari 2018 12:40
De officiële proofingtools van Microsoft voor Word?

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq