Google พบช่องโหว่ในตัวจัดการรหัสผ่านของ Windows 10

Tavis Ormandy นักวิจัยด้านความปลอดภัยของ Google ได้ค้นพบจุดบกพร่องในตัวจัดการรหัสผ่านของ Windows 10 ซึ่งช่วยให้ผู้โจมตีสามารถขโมยรหัสผ่านได้ ข้อบกพร่องเกิดขึ้นกับแอพตัวจัดการรหัสผ่าน Keeper ของบุคคลที่สามซึ่งติดตั้งอุปกรณ์ Windows 10 Tavis กล่าวว่าข้อบกพร่องนั้นคล้ายกับที่เขาค้นพบในปี 2016

ฉันจำได้ว่าเคยแจ้งข้อบกพร่องเกี่ยวกับวิธีที่พวกเขาใส่ UI ที่มีสิทธิพิเศษลงในหน้าต่างๆ ได้อย่างไร “ฉันตรวจสอบแล้ว และพวกเขากำลังทำสิ่งเดียวกันกับเวอร์ชันนี้อีกครั้ง

– ทาวิส ออร์ม็องดี

Tavis สาธิตการโจมตีและแบ่งปันรายละเอียดโดยเป็นส่วนหนึ่งของ Project Zero จุดบกพร่องดังกล่าวอยู่ภายใต้กำหนดเวลาการเปิดเผยข้อมูล 90 วัน ซึ่งหมายความว่าเมื่อครบ 90 วันแล้ว Tavis สามารถแบ่งปันรายละเอียดเกี่ยวกับจุดบกพร่องและวิธีใช้ประโยชน์จากข้อบกพร่องดังกล่าวแบบสาธารณะได้

ฉันสร้าง Windows 10 VM ใหม่ด้วยอิมเมจดั้งเดิมจาก MSDN และสังเกตเห็นว่าตอนนี้มีการติดตั้งตัวจัดการรหัสผ่านของบุคคลที่สามตามค่าเริ่มต้นแล้ว ใช้เวลาไม่นานในการค้นหาจุดอ่อนที่สำคัญ https://t.co/dbkznucgLm

- Tavis Ormandy (@taviso) December 15, 2017

นี่อาจฟังดูน่ากลัว แต่ Keeper ได้ตั้งค่าสถานะปัญหาแล้ว และ ณ เมื่อวาน การอัปเดตใหม่ได้ถูกผลักดันเพื่อแก้ไขปัญหา บริษัทกล่าวไว้ในบล็อกโพสต์:

ลูกค้าทั้งหมดที่ใช้ส่วนขยายเบราว์เซอร์ของ Keeper บน Edge, Chrome และ Firefox ได้รับเวอร์ชัน 11.4.4 แล้วผ่านกระบวนการอัปเดตส่วนขยายของเว็บเบราว์เซอร์ที่เกี่ยวข้อง ลูกค้าที่ใช้ส่วนขยาย Safari สามารถอัปเดตเป็นเวอร์ชัน 11.4.4 ได้ด้วยตนเองโดยไปที่ Keeper's ดาวน์โหลดหน้า. ไม่มีรายงานของลูกค้าที่ได้รับผลกระทบจากจุดบกพร่องนี้ไปยัง Keeper แอพมือถือและแอพเดสก์ท็อปไม่ได้รับผลกระทบและไม่ต้องการการอัปเดต

เราหวังว่าการอัปเดตใหม่นี้จะแก้ปัญหานี้ได้ และในฐานะคำแนะนำ เราขอแนะนำให้คุณอัปเดตแอปทั้งหมดเพื่อป้องกันการโจมตี คุณสามารถดาวน์โหลดส่วนขยายสำหรับ Edge ได้จาก Microsoft Store ด้านล่าง

[แอพบ็อกซ์ windowsstore 9wzdncrdmpt6]

ถนน: Windows ล่าสุด; โครงการศูนย์; ผู้รักษาประตู