Google findet eine Schwachstelle im Passwort-Manager von Windows 10
2 Minute. lesen
Veröffentlicht am
Lesen Sie unsere Offenlegungsseite, um herauszufinden, wie Sie MSPoweruser dabei helfen können, das Redaktionsteam zu unterstützen Lesen Sie weiter
Googles Sicherheitsforscher Tavis Ormandy hat einen Fehler im Passwort-Manager von Windows 10 entdeckt, der es Angreifern ermöglicht, Passwörter zu stehlen. Der Fehler liegt in der Keeper-Passwort-Manager-App eines Drittanbieters, die auf Windows 10-Geräten installiert ist. Tavis sagt, dass der Fehler dem ähnlich ist, den er 2016 entdeckt hat.
Ich erinnere mich, dass ich vor einiger Zeit einen Fehler darüber gemeldet habe, wie sie privilegierte Benutzeroberflächen in Seiten eingefügt haben. „Ich habe es überprüft und sie machen dasselbe mit dieser Version wieder.
– Tavis Ormandy
Tavis demonstrierte den Angriff und teilte die Details als Teil von Project Zero mit. Der Fehler unterliegt einer 90-tägigen Offenlegungsfrist, was bedeutet, dass es Tavis nach Ablauf der 90 Tage freisteht, die Details über den Fehler und wie er öffentlich ausgenutzt werden kann, mitzuteilen.
Ich habe eine neue Windows 10-VM mit einem ursprünglichen Image von MSDN erstellt und festgestellt, dass jetzt standardmäßig ein Passwort-Manager eines Drittanbieters installiert ist. Es dauerte nicht lange, eine kritische Schwachstelle zu finden. https://t.co/dbkznucgLm
- Tavis Ormandy (@taviso) 15. Dezember 2017
Das mag beängstigend klingen, aber Keeper hat das Problem bereits gemeldet und seit gestern wurde ein neues Update veröffentlicht, um das Problem zu beheben. Das Unternehmen ging in einem Blogbeitrag darauf ein:
Alle Kunden, die die Browsererweiterung von Keeper auf Edge, Chrome und Firefox ausführen, haben bereits Version 11.4.4 über den Aktualisierungsprozess ihrer jeweiligen Webbrowser-Erweiterung erhalten. Kunden, die die Safari-Erweiterung verwenden, können manuell auf Version 11.4.4 aktualisieren, indem sie Keeper besuchen Download-Seite. Keeper wurden keine Berichte über Kunden gemeldet, die von diesem Fehler betroffen sind. Mobile Apps und Desktop-Apps waren nicht betroffen und erfordern keine Updates.
Wir hoffen, dass das neue Update das Problem behebt und empfehlen Ihnen, alle Apps auf dem neuesten Stand zu halten, um Angriffe zu verhindern. Sie können die Erweiterung für Edge unten im Microsoft Store herunterladen.
[Appbox Windowsstore 9wzdncrdmpt6]
Via: Windows Neueste; Project Zero; Hüter