Google обнаружил уязвимость в диспетчере паролей Windows 10
2 минута. читать
Опубликовано
Прочтите нашу страницу раскрытия информации, чтобы узнать, как вы можете помочь MSPoweruser поддержать редакционную команду. Читать далее
Исследователь безопасности Google Тэвис Орманди обнаружил ошибку в диспетчере паролей Windows 10, которая позволяет злоумышленникам красть пароли. Недостаток связан со сторонним приложением для управления паролями Keeper, которое устанавливается на устройствах с Windows 10. Тэвис говорит, что уязвимость похожа на ту, которую он обнаружил еще в 2016 году.
Я помню, как некоторое время назад сообщал об ошибке о том, как они внедряли привилегированный пользовательский интерфейс на страницы. «Я проверил, и они снова делают то же самое с этой версией.
— Тэвис Орманди
Тэвис продемонстрировал атаку и поделился подробностями в рамках Project Zero. Крайний срок раскрытия ошибки составляет 90 дней, что означает, что по истечении 90 дней Тэвис может свободно делиться подробностями об ошибке и о том, как ее использовать, публично.
Я создал новую виртуальную машину Windows 10 с нетронутым образом из MSDN и заметил, что сторонний менеджер паролей теперь установлен по умолчанию. Поиск критической уязвимости не занял много времени. https://t.co/dbkznucgLm
- Тавис Орманди (@taviso) 15 декабря 2017
Это может звучать пугающе, но Keeper уже отметил проблему, и со вчерашнего дня было выпущено новое обновление, чтобы решить эту проблему. Компания рассказала об этом в своем блоге:
Все клиенты, использующие расширение Keeper для браузера в Edge, Chrome и Firefox, уже получили версию 11.4.4 в процессе обновления соответствующего расширения веб-браузера. Клиенты, использующие расширение Safari, могут вручную обновить его до версии 11.4.4, посетив Keeper's Скачать страницу. В Keeper не поступало сообщений о клиентах, затронутых этой ошибкой. Мобильные и настольные приложения не пострадали и не требуют обновлений.
Мы надеемся, что новое обновление устранит проблему, и в качестве рекомендации рекомендуем вам установить все приложения в актуальном состоянии, чтобы предотвратить любые атаки. Вы можете скачать расширение для Edge из магазина Microsoft ниже.
[appbox windowsstore 9wzdncrdmpt6]