Google löytää haavoittuvuuden Windows 10:n Password Managerista
2 min. lukea
Julkaistu
Jaa tämä artikkeli
Paranna tätä ohjetta
Lue ilmoitussivumme saadaksesi selville, kuinka voit auttaa MSPoweruseria ylläpitämään toimitustiimiä Lue lisää
Googlen tietoturvatutkija Tavis Ormandy on havainnut virheen Windows 10:n Password Managerissa, jonka avulla hyökkääjät voivat varastaa salasanoja. Vika on kolmannen osapuolen Keeper-salasanojen hallintasovelluksessa, joka tulee asennettujen Windows 10 -laitteiden mukana. Tavis sanoo, että vika on samanlainen kuin se, jonka hän löysi vuonna 2016.
Muistan ilmoittaneeni jokin aika sitten virheen siitä, kuinka he lisäsivät etuoikeutettua käyttöliittymää sivuille. "Tarkastin ja he tekevät saman uudelleen tämän version kanssa.
– Tavis Ormandy
Tavis esitteli hyökkäyksen ja jakoi yksityiskohdat osana Project Zeroa. Virheelle on asetettu 90 päivän ilmoitusaika, mikä tarkoittaa, että kun 90 päivää on kulunut, Tavis voi vapaasti jakaa tiedot virheestä ja sen hyödyntämisestä julkisesti.
Loin uuden Windows 10 VM:n, jossa on koskematon kuva MSDN:stä, ja huomasin, että kolmannen osapuolen salasananhallinta on nyt asennettu oletuksena. Ei kestänyt kauan löytää kriittistä haavoittuvuutta. https://t.co/dbkznucgLm
- Tavis Ormandy (@taviso) Joulukuu 15, 2017
Tämä saattaa kuulostaa pelottavalta, mutta Keeper on jo ilmoittanut ongelmasta, ja eilen on päivitetty uusi päivitys ongelman korjaamiseksi. Yhtiö käsitteli asiaa blogikirjoituksessa:
Kaikki asiakkaat, jotka käyttävät Keeperin selainlaajennusta Edgessä, Chromessa ja Firefoxissa, ovat jo saaneet version 11.4.4 vastaavan verkkoselainlaajennuksen päivitysprosessin kautta. Safari-laajennusta käyttävät asiakkaat voivat päivittää manuaalisesti versioon 11.4.4 käymällä Keeper's ladata sivu. Keeperille ei ole raportoitu asiakkaista, joihin tämä virhe vaikuttaa. Tämä ei vaikuttanut mobiilisovelluksiin ja työpöytäsovelluksiin, eivätkä ne vaadi päivityksiä.
Toivomme, että uusi päivitys korjaa ongelman, ja suosittelemme, että pidät kaikki sovellukset ajan tasalla hyökkäysten estämiseksi. Voit ladata Edgen laajennuksen Microsoft Storesta alta.
[appbox windowsstore 9wzdncrdmpt6]
