Google pronalazi ranjivost u Windows 10 Password Manageru

Googleov sigurnosni istraživač Tavis Ormandy otkrio je bug u Windows 10 Password Manageru koji napadačima omogućuje krađu lozinki. Mana je u aplikaciji za upravljanje lozinkama Keeper treće strane koja dolazi s instaliranim uređajima sa sustavom Windows 10. Tavis kaže da je mana slična onoj koju je otkrio još 2016. godine.

Sjećam se da sam prije nekog vremena prijavio grešku o tome kako su ubacivali privilegirano korisničko sučelje u stranice. “Provjerio sam i opet rade istu stvar s ovom verzijom.

– Tavis Ormandy

Tavis je demonstrirao napad i podijelio detalje kao dio projekta nula. Greška je podvrgnuta roku za otkrivanje od 90 dana, što znači da nakon isteka 90 dana Tavis može slobodno podijeliti pojedinosti o bugu i kako ga javno iskoristiti.

Stvorio sam novi Windows 10 VM s netaknutom slikom iz MSDN-a i primijetio sam da je upravitelj lozinki treće strane sada instaliran prema zadanim postavkama. Nije trebalo dugo da se pronađe kritična ranjivost. https://t.co/dbkznucgLm

- Tavis Ormandy (@taviso) Prosinac 15, 2017

Ovo bi moglo zvučati zastrašujuće, ali Keeper je već označio problem i od jučer je postavljeno novo ažuriranje kako bi se problem riješio. Tvrtka je to osvrnula na blogu:

Svi korisnici koji koriste Keeperovo proširenje preglednika na Edgeu, Chromeu i Firefoxu već su primili verziju 11.4.4 kroz proces ažuriranja odgovarajućeg proširenja web preglednika. Korisnici koji koriste proširenje Safari mogu se ručno ažurirati na verziju 11.4.4 posjetom Keeper's preuzeti stranicu. Keeperu nisu prijavljena nikakva izvješća o klijentima na koje je utjecao ovaj bug. Mobilne aplikacije i aplikacije za stolna računala nisu pogođene i ne zahtijevaju ažuriranja.

Nadamo se da će novo ažuriranje riješiti problem i kao savjet, preporučamo vam da imate ažurne sve aplikacije kako biste spriječili bilo kakve napade. Proširenje za Edge možete preuzeti iz Microsoft Storea u nastavku.

[appbox windowsstore 9wzdncrdmpt6]

Via: Najnovije Windows; Projekt Zero; Čuvar