Google rileva una vulnerabilità nel Password Manager di Windows 10
2 minuto. leggere
Edizione del
Leggi la nostra pagina informativa per scoprire come puoi aiutare MSPoweruser a sostenere il team editoriale Per saperne di più
Il ricercatore di sicurezza di Google Tavis Ormandy ha scoperto un bug in Password Manager di Windows 10 che consente agli aggressori di rubare le password. Il difetto è con l'app di gestione delle password di Keeper di terze parti che viene fornita sui dispositivi Windows 10 installati. Tavis afferma che il difetto è simile a quello scoperto nel 2016.
Ricordo di aver segnalato un bug qualche tempo fa su come iniettavano l'interfaccia utente privilegiata nelle pagine. “Ho controllato e stanno facendo di nuovo la stessa cosa con questa versione.
– Tavis Ormandy
Tavis ha dimostrato l'attacco e ha condiviso i dettagli come parte del Progetto Zero. Il bug è soggetto a una scadenza per la divulgazione di 90 giorni, il che significa che una volta scaduti i 90 giorni, Tavis è libera di condividere i dettagli sul bug e su come sfruttarlo pubblicamente.
Ho creato una nuova macchina virtuale Windows 10 con un'immagine incontaminata da MSDN e ho notato che un gestore di password di terze parti è ora installato per impostazione predefinita. Non ci è voluto molto per trovare una vulnerabilità critica. https://t.co/dbkznucgLm
- Tavis Ormandy (@taviso) Dicembre 15, 2017
Potrebbe sembrare spaventoso, ma Keeper ha già segnalato il problema e da ieri è stato inviato un nuovo aggiornamento per risolvere il problema. L'azienda ne ha parlato in un post sul blog:
Tutti i clienti che eseguono l'estensione del browser di Keeper su Edge, Chrome e Firefox hanno già ricevuto la versione 11.4.4 tramite il rispettivo processo di aggiornamento dell'estensione del browser web. I clienti che utilizzano l'estensione Safari possono eseguire manualmente l'aggiornamento alla versione 11.4.4 visitando Keeper's pagina di download. Non è stata segnalata a Keeper alcuna segnalazione di clienti interessati da questo bug. Le app mobili e le app desktop non sono state interessate e non richiedono aggiornamenti.
Ci auguriamo che il nuovo aggiornamento risolva il problema e, come avviso, ti consigliamo di avere tutte le app aggiornate per prevenire eventuali attacchi. Puoi scaricare l'estensione per Edge dal Microsoft Store di seguito.
[appbox windowsstore 9wzdncrdmpt6]