Google rileva una vulnerabilità nel Password Manager di Windows 10

Icona del tempo di lettura 2 minuto. leggere

Icona del calendario Edizione del Dicembre 16, 2017

pubblicato su Dicembre 16, 2017

I lettori aiutano a supportare MSpoweruser. Potremmo ricevere una commissione se acquisti tramite i nostri link.

Il ricercatore di sicurezza di Google Tavis Ormandy ha scoperto un bug in Password Manager di Windows 10 che consente agli aggressori di rubare le password. Il difetto è con l'app di gestione delle password di Keeper di terze parti che viene fornita sui dispositivi Windows 10 installati. Tavis afferma che il difetto è simile a quello scoperto nel 2016.

Ricordo di aver segnalato un bug qualche tempo fa su come iniettavano l'interfaccia utente privilegiata nelle pagine. “Ho controllato e stanno facendo di nuovo la stessa cosa con questa versione.

– Tavis Ormandy

Tavis ha dimostrato l'attacco e ha condiviso i dettagli come parte del Progetto Zero. Il bug è soggetto a una scadenza per la divulgazione di 90 giorni, il che significa che una volta scaduti i 90 giorni, Tavis è libera di condividere i dettagli sul bug e su come sfruttarlo pubblicamente.

Ho creato una nuova macchina virtuale Windows 10 con un'immagine incontaminata da MSDN e ho notato che un gestore di password di terze parti è ora installato per impostazione predefinita. Non ci è voluto molto per trovare una vulnerabilità critica. https://t.co/dbkznucgLm

- Tavis Ormandy (@taviso) Dicembre 15, 2017

Potrebbe sembrare spaventoso, ma Keeper ha già segnalato il problema e da ieri è stato inviato un nuovo aggiornamento per risolvere il problema. L'azienda ne ha parlato in un post sul blog:

Tutti i clienti che eseguono l'estensione del browser di Keeper su Edge, Chrome e Firefox hanno già ricevuto la versione 11.4.4 tramite il rispettivo processo di aggiornamento dell'estensione del browser web. I clienti che utilizzano l'estensione Safari possono eseguire manualmente l'aggiornamento alla versione 11.4.4 visitando Keeper's pagina di download. Non è stata segnalata a Keeper alcuna segnalazione di clienti interessati da questo bug. Le app mobili e le app desktop non sono state interessate e non richiedono aggiornamenti.

Ci auguriamo che il nuovo aggiornamento risolva il problema e, come avviso, ti consigliamo di avere tutte le app aggiornate per prevenire eventuali attacchi. Puoi scaricare l'estensione per Edge dal Microsoft Store di seguito.

[appbox windowsstore 9wzdncrdmpt6]

Via: Windows Più recente; Project Zero; Custode

Maggiori informazioni sugli argomenti: google, Custode, microsoft, finestre 10

Anmol Mehrotra

Reporter di notizie per Android e Windows

Anmol copre le novità su Android e Windows. È uno scrittore tecnologico con oltre un decennio di esperienza.

Lascia un Commento