Google encuentra una vulnerabilidad en el Administrador de contraseñas de Windows 10
2 minuto. leer
Publicado el
Compartir este artículo
Mejorar esta guía
Lea nuestra página de divulgación para descubrir cómo puede ayudar a MSPoweruser a sostener el equipo editorial. Leer más
El investigador de seguridad de Google, Tavis Ormandy, descubrió un error en el Administrador de contraseñas de Windows 10 que permite a los atacantes robar contraseñas. La falla es con la aplicación de administrador de contraseñas Keeper de terceros que viene instalada en dispositivos con Windows 10. Tavis dice que la falla es similar a la que descubrió en 2016.
Recuerdo haber presentado un error hace un tiempo sobre cómo estaban inyectando una interfaz de usuario privilegiada en las páginas. “Revisé y están haciendo lo mismo nuevamente con esta versión.
–Tavis Ormandy
Tavis demostró el ataque y compartió los detalles como parte del Proyecto Cero. El error está sujeto a un plazo de divulgación de 90 días, lo que significa que una vez transcurridos los 90 días, Tavis puede compartir los detalles sobre el error y cómo explotarlo públicamente.
Creé una nueva VM de Windows 10 con una imagen impecable de MSDN y noté que un administrador de contraseñas de terceros ahora está instalado de manera predeterminada. No tomó mucho tiempo encontrar una vulnerabilidad crítica. https://t.co/dbkznucgLm
- Tavis Ormandy (@taviso) 15 de diciembre de 2017
Esto puede sonar aterrador, pero Keeper ya ha señalado el problema y, a partir de ayer, se envió una nueva actualización para solucionarlo. La compañía lo abordó en una publicación de blog:
Todos los clientes que ejecutan la extensión del navegador de Keeper en Edge, Chrome y Firefox ya han recibido la versión 11.4.4 a través de su respectivo proceso de actualización de la extensión del navegador web. Los clientes que usan la extensión de Safari pueden actualizar manualmente a la versión 11.4.4 visitando Keeper's Página de descarga. Keeper no ha recibido ningún informe de ningún cliente afectado por este error. Las aplicaciones móviles y de escritorio no se vieron afectadas y no requieren actualizaciones.
Esperamos que la nueva actualización solucione el problema y, como aviso, le recomendamos que tenga todas las aplicaciones actualizadas para evitar ataques. Puede descargar la extensión para Edge desde Microsoft Store a continuación.
[appbox windowsstore 9wzdncrdmpt6]
