Google nájde chybu zabezpečenia v Správcovi hesiel systému Windows 10

Bezpečnostný výskumník spoločnosti Google Tavis Ormandy objavil chybu v Správcovi hesiel systému Windows 10, ktorá umožňuje útočníkom kradnúť heslá. Chyba je v aplikácii správcu hesiel Keeper od tretej strany, ktorá sa dodáva so zariadeniami so systémom Windows 10. Tavis hovorí, že chyba je podobná tej, ktorú objavil v roku 2016.

Pamätám si, že som pred chvíľou nahlásil chybu o tom, ako do stránok vložili privilegované používateľské rozhranie. "Skontroloval som to a oni robia to isté znova s ​​touto verziou."

– Tavis Ormandy

Tavis demonštroval útok a zdieľal podrobnosti ako súčasť projektu Zero. Na chybu sa vzťahuje 90-dňová lehota na zverejnenie, čo znamená, že po uplynutí 90 dní môže Tavis zdieľať podrobnosti o chybe a ako ju verejne využiť.

Vytvoril som nový Windows 10 VM s pôvodným obrázkom z MSDN a všimol som si, že správca hesiel tretej strany je teraz štandardne nainštalovaný. Netrvalo dlho nájsť kritickú zraniteľnosť. https://t.co/dbkznucgLm

- Tavis Ormandy (@taviso) Decembra 15, 2017

Môže to znieť strašidelne, ale Keeper už problém nahlásil a od včerajška bola vydaná nová aktualizácia na vyriešenie problému. Spoločnosť to uviedla v blogovom príspevku:

Všetci zákazníci, ktorí používajú rozšírenie prehliadača Keeper na Edge, Chrome a Firefox, už dostali verziu 11.4.4 prostredníctvom procesu aktualizácie príslušného rozšírenia webového prehliadača. Zákazníci používajúci rozšírenie Safari môžu manuálne aktualizovať na verziu 11.4.4 návštevou Keeper's stiahnuť stránku. Keeperu neboli nahlásené žiadne správy o zákazníkoch ovplyvnených touto chybou. Mobilné aplikácie a aplikácie pre stolné počítače neboli ovplyvnené a nevyžadujú aktualizácie.

Dúfame, že nová aktualizácia problém vyrieši a ako odporúčanie vám odporúčame mať všetky aplikácie aktuálne, aby ste predišli akýmkoľvek útokom. Rozšírenie pre Edge si môžete stiahnuť z Microsoft Store nižšie.

[appbox windowsstore 9wzdncrdmpt6]

cez: Windows najnovšie; Project Zero; Brankár