Google พบช่องโหว่ในตัวจัดการรหัสผ่านของ Windows 10
2 นาที. อ่าน
เผยแพร่เมื่อ
อ่านหน้าการเปิดเผยข้อมูลของเราเพื่อดูว่าคุณจะช่วย MSPoweruser รักษาทีมบรรณาธิการได้อย่างไร อ่านเพิ่มเติม
Tavis Ormandy นักวิจัยด้านความปลอดภัยของ Google ได้ค้นพบจุดบกพร่องในตัวจัดการรหัสผ่านของ Windows 10 ซึ่งช่วยให้ผู้โจมตีสามารถขโมยรหัสผ่านได้ ข้อบกพร่องเกิดขึ้นกับแอพตัวจัดการรหัสผ่าน Keeper ของบุคคลที่สามซึ่งติดตั้งอุปกรณ์ Windows 10 Tavis กล่าวว่าข้อบกพร่องนั้นคล้ายกับที่เขาค้นพบในปี 2016
ฉันจำได้ว่าเคยแจ้งข้อบกพร่องเกี่ยวกับวิธีที่พวกเขาใส่ UI ที่มีสิทธิพิเศษลงในหน้าต่างๆ ได้อย่างไร “ฉันตรวจสอบแล้ว และพวกเขากำลังทำสิ่งเดียวกันกับเวอร์ชันนี้อีกครั้ง
– ทาวิส ออร์ม็องดี
Tavis สาธิตการโจมตีและแบ่งปันรายละเอียดโดยเป็นส่วนหนึ่งของ Project Zero จุดบกพร่องดังกล่าวอยู่ภายใต้กำหนดเวลาการเปิดเผยข้อมูล 90 วัน ซึ่งหมายความว่าเมื่อครบ 90 วันแล้ว Tavis สามารถแบ่งปันรายละเอียดเกี่ยวกับจุดบกพร่องและวิธีใช้ประโยชน์จากข้อบกพร่องดังกล่าวแบบสาธารณะได้
ฉันสร้าง Windows 10 VM ใหม่ด้วยอิมเมจดั้งเดิมจาก MSDN และสังเกตเห็นว่าตอนนี้มีการติดตั้งตัวจัดการรหัสผ่านของบุคคลที่สามตามค่าเริ่มต้นแล้ว ใช้เวลาไม่นานในการค้นหาจุดอ่อนที่สำคัญ https://t.co/dbkznucgLm
- Tavis Ormandy (@taviso) December 15, 2017
นี่อาจฟังดูน่ากลัว แต่ Keeper ได้ตั้งค่าสถานะปัญหาแล้ว และ ณ เมื่อวาน การอัปเดตใหม่ได้ถูกผลักดันเพื่อแก้ไขปัญหา บริษัทกล่าวไว้ในบล็อกโพสต์:
ลูกค้าทั้งหมดที่ใช้ส่วนขยายเบราว์เซอร์ของ Keeper บน Edge, Chrome และ Firefox ได้รับเวอร์ชัน 11.4.4 แล้วผ่านกระบวนการอัปเดตส่วนขยายของเว็บเบราว์เซอร์ที่เกี่ยวข้อง ลูกค้าที่ใช้ส่วนขยาย Safari สามารถอัปเดตเป็นเวอร์ชัน 11.4.4 ได้ด้วยตนเองโดยไปที่ Keeper's ดาวน์โหลดหน้า. ไม่มีรายงานของลูกค้าที่ได้รับผลกระทบจากจุดบกพร่องนี้ไปยัง Keeper แอพมือถือและแอพเดสก์ท็อปไม่ได้รับผลกระทบและไม่ต้องการการอัปเดต
เราหวังว่าการอัปเดตใหม่นี้จะแก้ปัญหานี้ได้ และในฐานะคำแนะนำ เราขอแนะนำให้คุณอัปเดตแอปทั้งหมดเพื่อป้องกันการโจมตี คุณสามารถดาวน์โหลดส่วนขยายสำหรับ Edge ได้จาก Microsoft Store ด้านล่าง
[แอพบ็อกซ์ windowsstore 9wzdncrdmpt6]