Google finder en sårbarhed i Windows 10's Password Manager
2 min. Læs
Udgivet den
Læs vores oplysningsside for at finde ud af, hvordan du kan hjælpe MSPoweruser med at opretholde redaktionen Læs mere
Googles sikkerhedsforsker Tavis Ormandy har opdaget en fejl i Windows 10's Password Manager, som gør det muligt for angribere at stjæle adgangskoder. Fejlen er med tredjeparts Keeper password manager-app, som kommer installerede Windows 10-enheder. Tavis siger, at fejlen ligner den, han opdagede tilbage i 2016.
Jeg kan huske, at jeg indgav en fejl for et stykke tid siden om, hvordan de injicerede privilegeret brugergrænseflade på sider. "Jeg tjekkede, og de gør det samme igen med denne version.
– Tavis Ormandy
Tavis demonstrerede angrebet og delte detaljerne som en del af Project Zero. Fejlen er underlagt en 90-dages offentliggørelsesfrist, hvilket betyder, at når 90 dage er gået, kan Tavis frit dele detaljerne om fejlen og hvordan man udnytter den offentligt.
Jeg oprettede en ny Windows 10 VM med et uberørt billede fra MSDN, og bemærkede, at en tredjeparts password manager nu er installeret som standard. Det tog ikke lang tid at finde en kritisk sårbarhed. https://t.co/dbkznucgLm
- Tavis Ormandy (@taviso) 15. December, 2017
Dette lyder måske skræmmende, men Keeper har allerede markeret problemet, og fra i går er en ny opdatering blevet skubbet for at løse problemet. Virksomheden adresserede det i et blogindlæg:
Alle kunder, der kører Keepers browserudvidelse på Edge, Chrome og Firefox, har allerede modtaget version 11.4.4 gennem deres respektive webbrowserudvidelsesopdateringsproces. Kunder, der bruger Safari-udvidelsen, kan manuelt opdatere til version 11.4.4 ved at besøge Keeper's download siden. Ingen rapporter om nogen kunder, der er berørt af denne fejl, er blevet rapporteret til Keeper. Mobile Apps og Desktop Apps blev ikke påvirket og kræver ikke opdateringer.
Vi håber, at den nye opdatering løser problemet, og som en rådgivende anbefaler vi dig at have alle apps opdateret for at forhindre angreb. Du kan downloade udvidelsen til Edge fra Microsoft Store nedenfor.
[appbox windowsstore 9wzdncrdmpt6]
via: Windows nyeste; Project Zero; Keeper