גוגל מוצאת פגיעות במנהל הסיסמאות של Windows 10
2 דקות לקרוא
פורסם ב
קרא את דף הגילויים שלנו כדי לגלות כיצד תוכל לעזור ל-MSPoweruser לקיים את צוות העריכה קראו עוד
חוקר האבטחה של גוגל, Tavis Ormandy, גילה באג במנהל הסיסמאות של Windows 10 המאפשר לתוקפים לגנוב סיסמאות. הפגם הוא באפליקציית מנהל הסיסמאות Keeper של צד שלישי שמגיעה עם מכשירי Windows 10 מותקנים. טאוויס אומר שהפגם דומה לזה שגילה עוד ב-2016.
אני זוכר שהגשתי באג לפני זמן מה בנוגע לאופן שבו הם מחדירים ממשק משתמש מיוחס לדפים. "בדקתי והם עושים את אותו הדבר שוב עם הגרסה הזו.
– טוויס אורמנדי
טוויס הדגים את המתקפה ושיתף את הפרטים כחלק מפרויקט אפס. הבאג כפוף למועד אחרון לגילוי של 90 יום, כלומר לאחר שיגמרו 90 יום, Tavis חופשית לשתף את הפרטים על הבאג וכיצד לנצל אותו באופן פומבי.
יצרתי Windows 10 VM חדש עם תמונה טהורה מ-MSDN, ושמתי לב שמנהל סיסמאות של צד שלישי מותקן כעת כברירת מחדל. לא לקח הרבה זמן למצוא פגיעות קריטית. https://t.co/dbkznucgLm
- טאוויס אורמנדי (@taviso) דצמבר 15, 2017
זה אולי נשמע מפחיד אבל Keeper כבר סימן את הבעיה ונכון לאתמול, עדכון חדש נדחף כדי לתקן את הבעיה. החברה התייחסה לכך בפוסט בבלוג:
כל הלקוחות המריצים את הרחבת הדפדפן של Keeper ב-Edge, Chrome ו-Firefox כבר קיבלו את גרסה 11.4.4 באמצעות תהליך עדכון התוסף של דפדפן האינטרנט שלהם. לקוחות המשתמשים בתוסף Safari יכולים לעדכן ידנית לגרסה 11.4.4 על ידי ביקור ב-Keeper's להוריד דף. לא דווחו ל-Keeper דיווחים על לקוחות שהושפעו מבאג זה. אפליקציות לנייד ואפליקציות לשולחן העבודה לא הושפעו ואינן דורשות עדכונים.
אנו מקווים שהעדכון החדש פותר את הבעיה וכייעוץ, אנו ממליצים לך לעדכן את כל האפליקציות כדי למנוע התקפות כלשהן. אתה יכול להוריד את התוסף עבור Edge מחנות Microsoft למטה.
[appbox windowsstore 9wzdncrdmpt6]
ויה: Windows האחרונה; פרויקט Zero; שומר