语法拼写检查器中的关键缺陷可能会让攻击者窃取您的数据

据2月2日发现该漏洞的Google Project Zero研究员塔维斯·奥曼迪（Tavis Ormandy）称，Grammarly的Chrome和Firefox扩展向所有网站暴露了身份验证令牌，远程攻击者只需4行JavaScript代码就可以抓取这些令牌。

换句话说，语法用户访问的任何网站都可能窃取他/她的身份验证令牌，这足以在未经许可的情况下登录用户的帐户并访问每个“文档、历史记录、日志和所有其他数据”。

奥曼迪在一份漏洞报告中说：“我称这是一个严重程度很高的漏洞，因为它似乎严重违反了用户的预期。”。“用户不会期望访问一个网站就可以访问他们在其他网站上输入的文档或数据。”

Ormandy还提供了一个概念验证（PoC）漏洞，它解释了一个人如何轻松触发这个严重的错误，用四行代码窃取Grammary用户的访问令牌。
Grammarly团队在周五发现了这一严重性很高的缺陷，并在周一凌晨修复了该缺陷。据研究人员称，对于解决此类缺陷而言，这是一个“令人印象深刻的响应时间”。

现在，Chrome和Firefox浏览器扩展都可以使用安全更新，这些扩展应该可以自动更新，而不需要语法用户进行任何操作。

Grammary的一位发言人在一封电子邮件中还表示，该公司没有证据表明用户受到该漏洞的危害。

这位发言人说：“谷歌零安全项目研究员塔维斯·奥曼迪报告的一个安全漏洞在发现后数小时内就被解决了。目前，格莱美没有证据表明任何用户信息被这个问题泄露。”。

“我们将继续积极监控任何异常活动。安全问题可能会影响保存在Grammary Editor中的文本。此错误不会影响Grammary键盘、Grammary Microsoft Office加载项或使用Grammary浏览器扩展时在网站上键入的任何文本。该错误已修复，无需采取任何措施。”由语法用户编辑。"