구글, 윈도우 10 비밀번호 관리자 취약점 발견
2 분. 읽다
에 게시됨
이 기사 공유
이 가이드를 개선하세요
공개 페이지를 읽고 MSPoweruser가 편집팀을 유지하는 데 어떻게 도움을 줄 수 있는지 알아보세요. 자세히 보기
Google 보안 연구원 Tavis Ormandy는 Windows 10의 비밀번호 관리자에서 공격자가 비밀번호를 도용할 수 있는 버그를 발견했습니다. 결함은 설치된 Windows 10 장치와 함께 제공되는 타사 Keeper 암호 관리자 앱에 있습니다. Tavis는 결함이 2016년에 발견한 결함과 유사하다고 말합니다.
나는 그들이 특권 UI를 페이지에 주입하는 방법에 대해 얼마 전에 버그를 제출한 것을 기억합니다. “확인해보니 이 버전에서도 같은 작업을 반복하고 있습니다.
– 타비스 오만디
Tavis는 공격을 시연하고 Project Zero의 일부로 세부 사항을 공유했습니다. 버그는 90일 공개 기한이 적용되며, 이는 90일이 지나면 Tavis가 버그에 대한 세부 정보와 공개적으로 악용하는 방법을 자유롭게 공유할 수 있음을 의미합니다.
MSDN의 깨끗한 이미지로 새 Windows 10 VM을 만들었고 이제 타사 암호 관리자가 기본적으로 설치되어 있음을 확인했습니다. 치명적인 취약점을 찾는 데 오랜 시간이 걸리지 않았습니다. https://t.co/dbkznucgLm
- 타비스 오만 디 (@ 타비 소) 2017 년 12 월 15 일
이것은 무섭게 들릴지 모르지만 Keeper는 이미 문제에 플래그를 지정했으며 어제 현재 문제를 해결하기 위해 새로운 업데이트가 푸시되었습니다. 회사는 블로그 게시물에서 이 문제를 해결했습니다.
Edge, Chrome 및 Firefox에서 Keeper의 브라우저 확장 프로그램을 실행하는 모든 고객은 해당 웹 브라우저 확장 프로그램 업데이트 프로세스를 통해 이미 버전 11.4.4를 받았습니다. Safari 확장을 사용하는 고객은 Keeper's를 방문하여 버전 11.4.4로 수동으로 업데이트할 수 있습니다. 다운로드 페이지로. 이 버그의 영향을 받는 고객에 대한 보고는 Keeper에 보고되지 않았습니다. 모바일 앱 및 데스크톱 앱은 영향을 받지 않았으며 업데이트가 필요하지 않습니다.
새 업데이트로 문제가 해결되기를 바라며 권고로서 공격을 방지하기 위해 모든 앱을 최신 상태로 유지하는 것이 좋습니다. Edge용 확장은 아래 Microsoft Store에서 다운로드할 수 있습니다.
[앱박스 윈도우스토어 9wzdncrdmpt6]
비아 : Windows 최신; 프로젝트 제로; 관리인
