Google découvre une vulnérabilité dans le gestionnaire de mots de passe de Windows 10
2 minute. lis
Publié le
Partagez cet article
Améliorer ce guide
Lisez notre page de divulgation pour savoir comment vous pouvez aider MSPoweruser à soutenir l'équipe éditoriale En savoir plus
Le chercheur en sécurité de Google, Tavis Ormandy, a découvert un bogue dans le gestionnaire de mots de passe de Windows 10 qui permet aux attaquants de voler des mots de passe. La faille concerne l'application tierce de gestion de mots de passe Keeper qui est fournie avec les appareils Windows 10 installés. Tavis dit que la faille est similaire à celle qu'il a découverte en 2016.
Je me souviens d'avoir déposé un bogue il y a quelque temps sur la façon dont ils injectaient une interface utilisateur privilégiée dans les pages. « J'ai vérifié et ils refont la même chose avec cette version.
–Tavis Ormandy
Tavis a démontré l'attaque et partagé les détails dans le cadre de Project Zero. Le bogue est soumis à un délai de divulgation de 90 jours, ce qui signifie qu'une fois les 90 jours écoulés, Tavis est libre de partager les détails du bogue et comment l'exploiter publiquement.
J'ai créé une nouvelle machine virtuelle Windows 10 avec une image vierge de MSDN et j'ai remarqué qu'un gestionnaire de mots de passe tiers est maintenant installé par défaut. Il n'a pas fallu longtemps pour trouver une vulnérabilité critique. https://t.co/dbkznucgLm
- Tavis Ormandy (@taviso) 15 décembre 2017
Cela peut sembler effrayant, mais Keeper a déjà signalé le problème et depuis hier, une nouvelle mise à jour a été lancée pour résoudre le problème. L'entreprise l'a abordé dans un article de blog :
Tous les clients exécutant l'extension de navigateur de Keeper sur Edge, Chrome et Firefox ont déjà reçu la version 11.4.4 via leur processus de mise à jour d'extension de navigateur Web respectif. Les clients utilisant l'extension Safari peuvent effectuer manuellement la mise à jour vers la version 11.4.4 en visitant le site Web de Keeper. page de téléchargement. Aucun client affecté par ce bogue n'a été signalé à Keeper. Les applications mobiles et les applications de bureau n'ont pas été affectées et ne nécessitent pas de mises à jour.
Nous espérons que la nouvelle mise à jour résoudra le problème et, à titre indicatif, nous vous recommandons de mettre à jour toutes les applications pour éviter toute attaque. Vous pouvez télécharger l'extension pour Edge à partir du Microsoft Store ci-dessous.
[appbox windowsstore 9wzdncrdmpt6]
Via: Windows Dernières; Project Zero; Gardien
