Google našel chybu zabezpečení ve Správci hesel ve Windows 10

Bezpečnostní výzkumník společnosti Google Tavis Ormandy objevil chybu ve Správci hesel systému Windows 10, která útočníkům umožňuje krást hesla. Chyba je v aplikaci správce hesel Keeper od třetí strany, která je dodávána s nainstalovanými zařízeními se systémem Windows 10. Tavis říká, že chyba je podobná té, kterou objevil v roce 2016.

Pamatuji si, že jsem před chvílí nahlásil chybu o tom, jak do stránek vkládali privilegované uživatelské rozhraní. "Zkontroloval jsem to a oni dělají to samé znovu s touto verzí."

– Tavis Ormandy

Tavis předvedl útok a sdílel podrobnosti jako součást projektu Zero. Chyba podléhá 90denní lhůtě pro zveřejnění, což znamená, že jakmile uplyne 90 dní, může Tavis sdílet podrobnosti o chybě a jak ji veřejně využít.

Vytvořil jsem nový virtuální počítač Windows 10 s nedotčeným obrazem z MSDN a všiml jsem si, že je nyní ve výchozím nastavení nainstalován správce hesel třetí strany. Nalezení kritické zranitelnosti netrvalo dlouho. https://t.co/dbkznucgLm

- Tavis Ormandy (@taviso) 15. prosince 2017

Může to znít děsivě, ale Keeper již problém nahlásil a od včerejška byla vydána nová aktualizace, která problém vyřeší. Společnost to uvedla v příspěvku na blogu:

Všichni zákazníci používající rozšíření prohlížeče Keeper na Edge, Chrome a Firefox již obdrželi verzi 11.4.4 prostřednictvím příslušného procesu aktualizace rozšíření webového prohlížeče. Zákazníci používající rozšíření Safari mohou ručně aktualizovat na verzi 11.4.4 návštěvou Keeper's stránku pro stažení. Keeperu nebyly hlášeny žádné zprávy o zákaznících ovlivněných touto chybou. Mobilní aplikace a aplikace pro stolní počítače nebyly ovlivněny a nevyžadují aktualizace.

Doufáme, že nová aktualizace problém vyřeší a jako upozornění vám doporučujeme mít všechny aplikace aktuální, abyste zabránili jakýmkoli útokům. Rozšíření pro Edge si můžete stáhnout z Microsoft Storu níže.

[appbox windowsstore 9wzdncrdmpt6]

Ulice: Windows Nejnovější; Project Zero; Brankář