Google găsește o vulnerabilitate în Managerul de parole din Windows 10
2 min. citit
Publicat în data de
Citiți pagina noastră de dezvăluire pentru a afla cum puteți ajuta MSPoweruser să susțină echipa editorială Află mai multe
Cercetătorul de securitate de la Google, Tavis Ormandy, a descoperit o eroare în Managerul de parole din Windows 10, care permite atacatorilor să fure parole. Defectul este cu aplicația de gestionare a parolelor Keeper terță parte, care vine pe dispozitivele Windows 10 instalate. Tavis spune că defectul este similar cu cel pe care l-a descoperit în 2016.
Îmi amintesc că am depus o eroare în urmă cu ceva timp despre modul în care injectau UI privilegiat în pagini. „Am verificat și ei fac din nou același lucru cu această versiune.
– Tavis Ormandy
Tavis a demonstrat atacul și a împărtășit detaliile ca parte a Proiectului Zero. Bug-ul este supus unui termen limită de dezvăluire de 90 de zile, ceea ce înseamnă că, odată ce expiră 90 de zile, Tavis este liber să împărtășească detaliile despre eroare și cum să o exploateze public.
Am creat o nouă mașină virtuală Windows 10 cu o imagine impecabilă de la MSDN și am observat că acum este instalat implicit un manager de parole terță parte. Nu a durat mult pentru a găsi o vulnerabilitate critică. https://t.co/dbkznucgLm
- Tavis Ormandy (@taviso) December 15, 2017
Acest lucru poate părea înfricoșător, dar Keeper a semnalat deja problema și, de ieri, a fost trimisă o nouă actualizare pentru a remedia problema. Compania a abordat acest lucru într-o postare pe blog:
Toți clienții care rulează extensia de browser Keeper pe Edge, Chrome și Firefox au primit deja versiunea 11.4.4 prin procesul de actualizare a extensiilor de browser web respectiv. Clienții care folosesc extensia Safari se pot actualiza manual la versiunea 11.4.4, vizitând Keeper's pagina de descărcare. Nu au fost raportate către Keeper niciun raport cu privire la clienții afectați de această eroare. Aplicațiile mobile și aplicațiile desktop nu au fost afectate și nu necesită actualizări.
Sperăm că noua actualizare rezolvă problema și, ca sfat, vă recomandăm să aveți toate aplicațiile la zi pentru a preveni orice atac. Puteți descărca extensia pentru Edge din Microsoft Store de mai jos.
[appbox windowsstore 9wzdncrdmpt6]