A Google sebezhetőséget talált a Windows 10 Jelszókezelőjében
2 perc olvas
Publikálva
Olvassa el közzétételi oldalunkat, hogy megtudja, hogyan segítheti az MSPowerusert a szerkesztői csapat fenntartásában Tovább
Tavis Ormandy, a Google biztonsági kutatója hibát fedezett fel a Windows 10 Jelszókezelőjében, amely lehetővé teszi a támadók számára jelszavak ellopását. A hiba a harmadik féltől származó Keeper jelszókezelő alkalmazásban van, amely telepített Windows 10 eszközökön található. Tavis szerint a hiba hasonló ahhoz, amit 2016-ban fedezett fel.
Emlékszem, régebben bejelentettem egy hibát arról, hogyan juttattak privilegizált felhasználói felületet az oldalakba. „Megnéztem, és újra ugyanezt csinálják ezzel a verzióval.
– Tavis Ormandy
Tavis a Project Zero részeként bemutatta a támadást, és megosztotta a részleteket. A hibára 90 napos közzétételi határidő vonatkozik, ami azt jelenti, hogy a 90 nap letelte után Tavis nyilvánosan megoszthatja a hibával és annak kihasználásával kapcsolatos részleteket.
Létrehoztam egy új Windows 10 virtuális gépet az MSDN eredeti képével, és észrevettem, hogy alapértelmezés szerint telepítve van egy harmadik féltől származó jelszókezelő. Nem tartott sokáig, hogy megtalálják a kritikus sebezhetőséget. https://t.co/dbkznucgLm
- Tavis Ormandy (@taviso) December 15, 2017
Ez ijesztően hangozhat, de a Keeper már jelezte a problémát, és tegnaptól új frissítést küldtek a probléma megoldására. A cég ezzel foglalkozott egy blogbejegyzésben:
Minden ügyfél, aki a Keeper böngészőbővítményét Edge, Chrome és Firefox rendszeren használja, már megkapta a 11.4.4-es verziót a megfelelő webböngésző-bővítmény frissítési folyamata révén. A Safari-bővítményt használó ügyfelek manuálisan frissíthetnek a 11.4.4-es verzióra a Keeper's oldalon. letöltés oldal. A Keepernek nem érkezett jelentés a hiba által érintett ügyfelekről. A mobilalkalmazások és az asztali alkalmazások nem érintettek, és nem igényelnek frissítést.
Reméljük, hogy az új frissítés megoldja a problémát, és tanácsként azt javasoljuk, hogy az összes alkalmazást frissítse a támadások megelőzése érdekében. Az Edge bővítményt az alábbi Microsoft Store-ból töltheti le.
[appbox windowsstore 9wzdncrdmpt6]
Keresztül: Legfrissebb Windows; Project Zero; Őr