Google najde ranljivost v upravitelju gesel sistema Windows 10

Googlov varnostni raziskovalec Tavis Ormandy je odkril napako v upravitelju gesel sistema Windows 10, ki napadalcem omogoča krajo gesel. Napaka je v aplikaciji za upravljanje gesel Keeper tretje osebe, ki je priložena nameščenim napravam Windows 10. Tavis pravi, da je napaka podobna tisti, ki jo je odkril leta 2016.

Spomnim se, da sem pred časom vložil napako o tem, kako so na strani vnašali privilegiran uporabniški vmesnik. »Preveril sem in spet delajo isto stvar s to različico.

– Tavis Ormandy

Tavis je demonstriral napad in delil podrobnosti kot del projekta Zero. Za hrošč velja 90-dnevni rok za razkritje, kar pomeni, da lahko Tavis po poteku 90 dni javno deli podrobnosti o hrošču in o tem, kako ga izkoristiti.

Ustvaril sem nov navidezni računalnik Windows 10 z neokrnjeno sliko iz MSDN in opazil, da je zdaj privzeto nameščen upravitelj gesel tretje osebe. Ni trajalo dolgo, da smo našli kritično ranljivost. https://t.co/dbkznucgLm

- Tavis Ormandy (@taviso) December 15, 2017

To se morda sliši strašljivo, vendar je Keeper že označil težavo in od včeraj je bila objavljena nova posodobitev za odpravo težave. Podjetje je to obravnavalo v objavi na blogu:

Vse stranke, ki uporabljajo razširitev brskalnika Keeper v brskalnikih Edge, Chrome in Firefox, so že prejele različico 11.4.4 s postopkom posodobitve razširitve spletnega brskalnika. Stranke, ki uporabljajo razširitev Safari, lahko ročno posodobijo na različico 11.4.4 tako, da obiščejo Keeper's stran za prenos. Keeperju niso sporočili nobenih poročil o strankah, ki jih je prizadela ta napaka. Mobilne aplikacije in namizne aplikacije niso bile prizadete in ne potrebujejo posodobitev.

Upamo, da bo nova posodobitev odpravila težavo, in kot nasvet vam priporočamo, da imate vse aplikacije posodobljene, da preprečite morebitne napade. Razširitev za Edge lahko prenesete iz spodnje trgovine Microsoft Store.

[appbox windowsstore 9wzdncrdmpt6]

Via: Windows Najnovejši; Projekt Zero; Keeper