语法检查工具Grammarly曝高危漏洞 四行代码就能访问用户隐私文档

“用指尖改变世界”

在使用英文书写电子邮件或者论文的时候，我们可能会因为自己不算太高的英文水平或者粗心等犯下一些比较低的错误，这或许包括拼写错误、语法错误、 标点符号错误以及语句结构错误等。

这肯定不是我们所期望的，于是，如果有一款工具能够很好地帮助我们检查并修改这些错误，我想应该会大受欢迎。

Grammarly就是这样的一款工具，能够在我们写作的时候实时检查并显示出上述中各种类型的错误，并告知我们如何去进行修改。它也被称为是“世界上最好的在线语法检查工具”，能够在多个平台上使用，包括网页版、客户端、浏览器插件等。

2月2日，谷歌公司Project Zero团队成员Tavis Ormandy在用于Chrome和Firefox浏览器的Grammarly插件中发现了一个安全漏洞，允许黑客通过任意网站访问用户的个人文件和记录，受影响的用户超过2200万。

Ormandy在一份漏洞报告中表示, Grammarly插件向所有网站暴露了用户的登录令牌信息，这足够用于登录到用户的Ormandy帐户，并在未经许可的情况下访问用户的文档、历史记录、日志和其他数据。

Ormandy说：“我将其称之为一个高危漏洞，因为这严重违背了用户的期望，没有任何一位用户会期望一个网站能够访问到他们在其他网站的创建的文档或数据。”

Ormandy还提供了一份关于触发漏洞的概念验证代码(PoC)，它解释了如何仅利用四行JavaScript代码来轻易地触发这个高危漏洞，并窃取Grammarly用户的登录令牌。

Grammarly团队在收到Ormandy通报的几小时内，就成功地对其进行了修复，Chrome和Firefox浏览器用户目前都可以通过将Ormandy插件更新到最新版本来解决这个潜在威胁。

此外，一位Grammarly的发言人强调，目前没有证据表明有任何用户信息已经遭到了破坏。

本文由黑客视界综合网络整理，图片源自网络;转载请注明“转自黑客视界”，并附上链接。