Google hittar en sårbarhet i lösenordshanteraren i Windows 10

Googles säkerhetsforskare Tavis Ormandy har upptäckt en bugg i Windows 10:s lösenordshanterare som tillåter angripare att stjäla lösenord. Felet är med tredjeparts Keeper lösenordshanterarapp som kommer installerade Windows 10-enheter. Tavis säger att felet liknar det han upptäckte redan 2016.

Jag minns att jag gjorde en bugg för ett tag sedan om hur de injicerade privilegierat användargränssnitt på sidor. "Jag kollade och de gör samma sak igen med den här versionen.

– Tavis Ormandy

Tavis demonstrerade attacken och delade detaljerna som en del av Project Zero. Felet är föremål för en 90-dagars deadline för avslöjande, vilket innebär att när 90 dagar är slut, är Tavis fri att dela information om buggen och hur man utnyttjar den offentligt.

Jag skapade en ny Windows 10 VM med en orörd bild från MSDN och märkte att en tredje parts lösenordshanterare nu är installerad som standard. Det tog inte lång tid att hitta en kritisk sårbarhet. https://t.co/dbkznucgLm

- Tavis Ormandy (@taviso) December 15, 2017

Detta kan låta läskigt men Keeper har redan flaggat problemet och från och med igår har en ny uppdatering drivits för att åtgärda problemet. Företaget tog upp det i ett blogginlägg:

Alla kunder som kör Keepers webbläsartillägg på Edge, Chrome och Firefox har redan fått version 11.4.4 genom deras respektive webbläsartilläggsuppdateringsprocess. Kunder som använder Safari-tillägget kan manuellt uppdatera till version 11.4.4 genom att besöka Keeper's ladda sidan. Inga rapporter om några kunder som påverkats av detta fel har rapporterats till Keeper. Mobilappar och skrivbordsappar påverkades inte och kräver inga uppdateringar.

Vi hoppas att den nya uppdateringen löser problemet och som råd rekommenderar vi att du har alla appar uppdaterade för att förhindra attacker. Du kan ladda ner tillägget för Edge från Microsoft Store nedan.

[appbox windowsstore 9wzdncrdmpt6]

via: Windows Senaste; Project Zero; Keeper