Google обнаружил уязвимость в диспетчере паролей Windows 10
2 минута. читать
Опубликовано
Поделиться этой статьей
Улучшите это руководство
Прочтите нашу страницу раскрытия информации, чтобы узнать, как вы можете помочь MSPoweruser поддержать редакционную команду. Читать далее
Исследователь безопасности Google Тэвис Орманди обнаружил ошибку в диспетчере паролей Windows 10, которая позволяет злоумышленникам красть пароли. Недостаток связан со сторонним приложением для управления паролями Keeper, которое устанавливается на устройствах с Windows 10. Тэвис говорит, что уязвимость похожа на ту, которую он обнаружил еще в 2016 году.
Я помню, как некоторое время назад сообщал об ошибке о том, как они внедряли привилегированный пользовательский интерфейс на страницы. «Я проверил, и они снова делают то же самое с этой версией.
— Тэвис Орманди
Тэвис продемонстрировал атаку и поделился подробностями в рамках Project Zero. Крайний срок раскрытия ошибки составляет 90 дней, что означает, что по истечении 90 дней Тэвис может свободно делиться подробностями об ошибке и о том, как ее использовать, публично.
Я создал новую виртуальную машину Windows 10 с нетронутым образом из MSDN и заметил, что сторонний менеджер паролей теперь установлен по умолчанию. Поиск критической уязвимости не занял много времени. https://t.co/dbkznucgLm
- Тавис Орманди (@taviso) 15 декабря 2017
Это может звучать пугающе, но Keeper уже отметил проблему, и со вчерашнего дня было выпущено новое обновление, чтобы решить эту проблему. Компания рассказала об этом в своем блоге:
Все клиенты, использующие расширение Keeper для браузера в Edge, Chrome и Firefox, уже получили версию 11.4.4 в процессе обновления соответствующего расширения веб-браузера. Клиенты, использующие расширение Safari, могут вручную обновить его до версии 11.4.4, посетив Keeper's Скачать страницу. В Keeper не поступало сообщений о клиентах, затронутых этой ошибкой. Мобильные и настольные приложения не пострадали и не требуют обновлений.
Мы надеемся, что новое обновление устранит проблему, и в качестве рекомендации рекомендуем вам установить все приложения в актуальном состоянии, чтобы предотвратить любые атаки. Вы можете скачать расширение для Edge из магазина Microsoft ниже.
[appbox windowsstore 9wzdncrdmpt6]
