Google、Windows 10のパスワードマネージャーに脆弱性を発見
2分。 読んだ
上で公開
MSPoweruser の編集チームの維持にどのように貢献できるかについては、開示ページをお読みください。 続きを読む
Googleのセキュリティ研究者であるTavisOrmandyは、攻撃者がパスワードを盗むことを可能にするWindows10のパスワードマネージャーのバグを発見しました。 この欠陥は、Windows10デバイスがインストールされているサードパーティのKeeperパスワードマネージャーアプリにあります。 Tavisは、この欠陥は2016年に発見したものと類似していると述べています。
特権UIをページに挿入する方法について、少し前にバグを報告したことを覚えています。 「私はチェックしました、そして、彼らはこのバージョンで再び同じことをしています。
–テイビス・オーマンディ
Tavisは攻撃のデモを行い、ProjectZeroの一部として詳細を共有しました。 バグには90日間の開示期限があります。つまり、90日が経過すると、Tavisはバグの詳細とそれを公に悪用する方法を自由に共有できます。
MSDNの元のイメージを使用して新しいWindows10VMを作成しましたが、サードパーティのパスワードマネージャーがデフォルトでインストールされていることに気付きました。 重大な脆弱性を見つけるのにそれほど時間はかかりませんでした。 https://t.co/dbkznucgLm
- Tavis Ormandy(タビソ) 2017 年 12 月 15 日
これは恐ろしいことのように聞こえるかもしれませんが、Keeperはすでに問題にフラグを立てており、昨日の時点で、問題を修正するために新しい更新がプッシュされています。 同社はブログ投稿でこれに対処しました:
Edge、Chrome、FirefoxでKeeperのブラウザ拡張機能を実行しているすべてのお客様は、それぞれのWebブラウザ拡張機能の更新プロセスを通じてバージョン11.4.4をすでに受け取っています。 Safari拡張機能を使用しているお客様は、Keeperにアクセスして、バージョン11.4.4に手動で更新できます。 ダウンロードのページ。 このバグの影響を受けた顧客の報告はKeeperに報告されていません。 モバイルアプリとデスクトップアプリは影響を受けず、更新は必要ありません。
新しいアップデートで問題が修正されることを願っています。アドバイザリとして、攻撃を防ぐためにすべてのアプリを最新の状態にすることをお勧めします。 Edgeの拡張機能は、以下のMicrosoftストアからダウンロードできます。
[アプリボックス Windowsストア 9wzdncrdmpt6]
経由: Windows最新; Project Zeroの; キーパー