0day в расширении Any.DO

[ZUZ]

The Simpsons — Days without an accident
www.youtube.com/watch?v=hfzbB_B3HS0

[Bo0oM]

Одни вендоры закрывают баги, сотрудничают и даже приглашают на работу, другие — игнорируют, а некоторые даже пишут заявление (мол, что это их детище трогают). Вендор вендору рознь :)

[equand]

Хм, а где данные пользователей-то?
Я в смысле для научного интереса онли (сам пользуюсь any.do)

[BeLove]

Каких пользователей?
Вы статью всю читали? Видео смотрели?

[equand]

Public disclosure ~500 тысяч пользователей

[BeLove]

Затронуто ~500 тысяч пользователей (количество пользователей расширения).
Можете мысленно добавить слово «затронуто».

[equand]

Public disclosure — это не затронуто, это публичное раскрытие данных…

[BeLove]

Публичное раскрытие 0day уязвимости. Затронуто ~500 000 пользователей
Это самое главное, что Вы нашли в статье?

[equand]

Да, меня волнуют именно данные пользователей, ибо приблудой для gmail не пользуюсь.

[RMV1983]

Насколько я понял, это не совсем обход 2-х факторной авторизации, а сродни похищению сессии. Обязательными условиями являются: наличие уязвимого расширения, активная сессия (для 2-х факторной авторизации) на сайте, браузер с уязвимым расширением должен быть запущен.
Впрочем, ущерб от этого не меньше. Поскольку, есть возможность проксирования в контексте браузера, то ни одна, даже самая хитрая, авторизация не спасёт, а «уязвимыми» будут — все посещаемые сайты. Более того — все внутренние ресурсы тоже могут быть под угрозой.
Вывод: чем меньше сторонних расширений, тем лучше.

[relgames]

Any.DO написали, что пофиксили twitter.com/AnyDO/status/376837896520491009

[BeLove]

Ага, и умолчали о втором письме и твите. Мол было только одно письмо, случайно пропустили) Ну да ладно, запатчились.