Google menemukan kerentanan di Pengelola Kata Sandi Windows 10
2 menit Baca
Ditampilkan di
Baca halaman pengungkapan kami untuk mengetahui bagaimana Anda dapat membantu MSPoweruser mempertahankan tim editorial Baca lebih lanjut
Peneliti Keamanan Google Tavis Ormandy telah menemukan bug di Pengelola Kata Sandi Windows 10 yang memungkinkan penyerang mencuri kata sandi. Cacatnya ada pada aplikasi pengelola kata sandi Keeper pihak ketiga yang datang dengan perangkat Windows 10 yang diinstal. Tavis mengatakan bahwa cacatnya mirip dengan yang dia temukan pada tahun 2016.
Saya ingat mengajukan bug beberapa waktu lalu tentang bagaimana mereka menyuntikkan UI istimewa ke halaman. “Saya memeriksa dan, mereka melakukan hal yang sama lagi dengan versi ini.
–Tavis Ormandy
Tavis mendemonstrasikan serangan itu dan membagikan detailnya sebagai bagian dari Project Zero. Bug tersebut dikenai tenggat waktu pengungkapan 90 hari yang berarti bahwa setelah 90 hari berlalu, Tavis bebas membagikan detail tentang bug tersebut dan cara mengeksploitasinya secara publik.
Saya membuat VM Windows 10 baru dengan gambar murni dari MSDN, dan melihat pengelola kata sandi pihak ketiga sekarang diinstal secara default. Tidak butuh waktu lama untuk menemukan kerentanan kritis. https://t.co/dbkznucgLm
- Tavis Ormandy (@taviso) Desember 15, 2017
Ini mungkin terdengar menakutkan tetapi Keeper telah menandai masalah ini dan mulai kemarin, pembaruan baru telah didorong untuk memperbaiki masalah tersebut. Perusahaan membahasnya dalam posting blog:
Semua pelanggan yang menjalankan ekstensi browser Keeper di Edge, Chrome, dan Firefox telah menerima Versi 11.4.4 melalui proses pembaruan ekstensi browser web masing-masing. Pelanggan yang menggunakan ekstensi Safari dapat memperbarui secara manual ke versi 11.4.4 dengan mengunjungi Keeper's halaman download. Tidak ada laporan pelanggan yang terpengaruh oleh bug ini yang dilaporkan ke Keeper. Aplikasi Seluler dan Aplikasi Desktop tidak terpengaruh dan tidak memerlukan pembaruan.
Kami berharap pembaruan baru memperbaiki masalah dan sebagai saran, kami menyarankan Anda untuk memperbarui semua aplikasi untuk mencegah serangan apa pun. Anda dapat mengunduh ekstensi untuk Edge dari Microsoft Store di bawah ini.
[kotak aplikasi windowsstore 9wzdncrdmpt6]
via: Windows Terbaru; Project Zero; Penjaga