Google finner en sårbarhet i Windows 10s Passordbehandling

Googles sikkerhetsforsker Tavis Ormandy har oppdaget en feil i Windows 10s Password Manager som lar angripere stjele passord. Feilen er med tredjeparts Keeper passordbehandling-app som kommer installerte Windows 10-enheter. Tavis sier at feilen ligner den han oppdaget i 2016.

Jeg husker at jeg sendte inn en feil for en stund siden om hvordan de injiserte privilegert brukergrensesnitt på sider. "Jeg sjekket, og de gjør det samme igjen med denne versjonen.

– Tavis Ormandy

Tavis demonstrerte angrepet og delte detaljene som en del av Project Zero. Feilen er underlagt en 90-dagers avsløringsfrist, som betyr at når 90 dager er ute, står Tavis fritt til å dele detaljene om feilen og hvordan man utnytter den offentlig.

Jeg opprettet en ny Windows 10 VM med et perfekt bilde fra MSDN, og la merke til at en tredjeparts passordbehandling nå er installert som standard. Det tok ikke lang tid å finne en kritisk sårbarhet. https://t.co/dbkznucgLm

- Tavis Ormandy (@taviso) Desember 15, 2017

Dette kan høres skummelt ut, men Keeper har allerede flagget problemet, og fra i går har en ny oppdatering blitt presset for å fikse problemet. Selskapet adresserte det i et blogginnlegg:

Alle kunder som kjører Keepers nettleserutvidelse på Edge, Chrome og Firefox har allerede mottatt versjon 11.4.4 gjennom deres respektive nettleserutvidelsesoppdateringsprosess. Kunder som bruker Safari-utvidelsen kan manuelt oppdatere til versjon 11.4.4 ved å besøke Keeper's laste siden. Ingen rapporter om noen kunder som er berørt av denne feilen har blitt rapportert til Keeper. Mobilapper og skrivebordsapper ble ikke berørt og krever ikke oppdateringer.

Vi håper at den nye oppdateringen løser problemet, og som en veiledning anbefaler vi deg å ha alle appene oppdatert for å forhindre angrep. Du kan laste ned utvidelsen for Edge fra Microsoft Store nedenfor.

[appbox windowsstore 9wzdncrdmpt6]

Via: Windows Latest; Project Zero; Keeper