Google encontra uma vulnerabilidade no gerenciador de senhas do Windows 10
2 minutos. ler
Publicado em
Compartilhe este artigo
Melhore este guia
Leia nossa página de divulgação para descobrir como você pode ajudar o MSPoweruser a sustentar a equipe editorial Saiba mais
O pesquisador de segurança do Google Tavis Ormandy descobriu um bug no gerenciador de senhas do Windows 10 que permite que invasores roubem senhas. A falha está no aplicativo gerenciador de senhas Keeper de terceiros, que vem instalado em dispositivos Windows 10. Tavis diz que a falha é semelhante à que ele descobriu em 2016.
Lembro-me de registrar um bug há algum tempo sobre como eles estavam injetando UI privilegiada nas páginas. “Eu verifiquei e eles estão fazendo a mesma coisa novamente com esta versão.
–Tavis Ormandy
Tavis demonstrou o ataque e compartilhou os detalhes como parte do Projeto Zero. O bug está sujeito a um prazo de divulgação de 90 dias, o que significa que, uma vez que 90 dias, Tavis é livre para compartilhar os detalhes sobre o bug e como explorá-lo publicamente.
Criei uma nova VM do Windows 10 com uma imagem cristalina do MSDN e notei que um gerenciador de senhas de terceiros agora está instalado por padrão. Não demorou muito para encontrar uma vulnerabilidade crítica. https://t.co/dbkznucgLm
- Tavis Ormandy (@taviso) 15 de dezembro de 2017
Isso pode parecer assustador, mas o Keeper já sinalizou o problema e, desde ontem, uma nova atualização foi enviada para corrigir o problema. A empresa abordou isso em uma postagem no blog:
Todos os clientes que executam a extensão de navegador do Keeper no Edge, Chrome e Firefox já receberam a versão 11.4.4 por meio de seu respectivo processo de atualização da extensão do navegador da web. Os clientes que usam a extensão Safari podem atualizar manualmente para a versão 11.4.4 visitando o Keeper's página de download. Nenhum relato de nenhum cliente afetado por este bug foi reportado ao Keeper. Aplicativos móveis e aplicativos de desktop não foram afetados e não requerem atualizações.
Esperamos que a nova atualização corrija o problema e, como aviso, recomendamos que você tenha todos os aplicativos atualizados para evitar ataques. Você pode baixar a extensão para Edge na Microsoft Store abaixo.
[appbox windowsstore 9wzdncrdmpt6]
