Google znajduje lukę w Menedżerze haseł systemu Windows 10
2 minuta. czytać
Opublikowany
Przeczytaj naszą stronę z informacjami, aby dowiedzieć się, jak możesz pomóc MSPoweruser w utrzymaniu zespołu redakcyjnego Czytaj więcej
Badacz bezpieczeństwa Google, Tavis Ormandy, odkrył błąd w Menedżerze haseł systemu Windows 10, który umożliwia atakującym kradzież haseł. Wada dotyczy aplikacji do zarządzania hasłami Keeper innej firmy, która jest dostarczana z zainstalowanymi urządzeniami z systemem Windows 10. Tavis mówi, że wada jest podobna do tej, którą odkrył w 2016 roku.
Pamiętam, że jakiś czas temu zgłosiłem błąd dotyczący wstrzykiwania uprzywilejowanego interfejsu użytkownika do stron. „Sprawdziłem i znowu robią to samo z tą wersją.
– Tavis Ormandy
Tavis zademonstrował atak i podzielił się szczegółami w ramach Projektu Zero. Błąd podlega 90-dniowemu terminowi ujawnienia, co oznacza, że po upływie 90 dni Tavis może udostępnić publicznie szczegóły błędu i sposoby jego wykorzystania.
Utworzyłem nową maszynę wirtualną z systemem Windows 10 z nieskazitelnym obrazem z MSDN i zauważyłem, że menedżer haseł innej firmy jest teraz zainstalowany domyślnie. Znalezienie krytycznej luki nie zajęło dużo czasu. https://t.co/dbkznucgLm
- Tavis Ormandy (@taviso) 15 grudnia 2017 r.
Może to brzmieć przerażająco, ale Keeper już zgłosił problem, a od wczoraj została wydana nowa aktualizacja, aby rozwiązać ten problem. Firma odniosła się do tego w poście na blogu:
Wszyscy klienci korzystający z rozszerzenia przeglądarki Keeper w przeglądarkach Edge, Chrome i Firefox otrzymali już wersję 11.4.4 w ramach procesu aktualizacji odpowiedniego rozszerzenia przeglądarki internetowej. Klienci korzystający z rozszerzenia Safari mogą ręcznie zaktualizować wersję 11.4.4, odwiedzając stronę Keeper pobrać stronę. Żadne zgłoszenia klientów dotkniętych tym błędem nie zostały zgłoszone do Keeper. Aplikacje mobilne i aplikacje komputerowe nie zostały naruszone i nie wymagają aktualizacji.
Mamy nadzieję, że nowa aktualizacja rozwiąże ten problem i jako poradę zalecamy aktualizację wszystkich aplikacji, aby zapobiec wszelkim atakom. Możesz pobrać rozszerzenie dla Edge z Microsoft Store poniżej.
[appbox Windowsstore 9wzdncrdmpt6]
Via: Windows Najnowsze; Project Zero; Opiekun