熱門Chrome擴充程式Grammarly爆安全漏洞，可讓駭客窺視使用者的憑證

Chrome瀏覽器上的Grammarly文法檢查擴充程式本周傳出含有一嚴重漏洞，允許惡意網站窺視使用者憑證，並查看使用者於該程式中所儲存的文件、歷史紀錄或其它資訊。

發現該漏洞的是Google Project Zero團隊的Tavis Ormandy，Ormandy說，這是個很嚴重的漏洞，因為它強烈違反了使用者的期待。

Grammarly為一英文文法檢查工具，它能在使用者輸入英文時，提供文法上的改善建議，估計有高達2,200萬名Chrome用戶安裝。

然而，惡意網站只要簡單地嵌入4行的程式碼，就能於安裝Grammarly的Chrome用戶造訪該站時偷窺使用者的憑證，進而存取Grammarly中所儲存的資料。

Grammarly在接獲Google的通知後，已於今日（2/6）修補了該漏洞，且強調該漏洞只影響儲存於Grammarly Editor中的文字，並不影響Grammarly Keyboard、Microsoft Office上的Grammarly外掛程式，也不會允許駭客偷窺使用者於網站上輸入的文字。

迄今並無證據顯示駭客開採了該漏洞，且在Grammarly修補後，使用者無需採取任何行動即可繼續使用。