Google знайшов уразливість у менеджері паролів Windows 10
2 хв. читати
Опубліковано
Прочитайте нашу сторінку розкриття інформації, щоб дізнатися, як ви можете допомогти MSPoweruser підтримувати редакційну команду Читати далі
Дослідник безпеки Google Тевіс Орманді виявив помилку в менеджері паролів Windows 10, яка дозволяє зловмисникам викрадати паролі. Недолік полягає в сторонньому додатку для керування паролями Keeper, який поставляється з інстальованими пристроями Windows 10. Тевіс каже, що недолік схожий на той, який він виявив ще в 2016 році.
Я пам’ятаю, як деякий час тому повідомляв про помилку про те, як вони впроваджували привілейований інтерфейс користувача на сторінки. «Я перевірив, і вони знову роблять те саме з цією версією.
– Тевіс Орманді
Тавіс продемонстрував атаку та поділився подробицями в рамках Project Zero. Помилка підлягає 90-денному терміну розкриття, що означає, що після закінчення 90 днів Tavis може вільно поділитися деталями про помилку та способи її використання.
Я створив нову віртуальну машину Windows 10 із незайманим образом із MSDN і помітив, що сторонній менеджер паролів тепер установлено за замовчуванням. Знайти критичну вразливість не зайняло багато часу. https://t.co/dbkznucgLm
- Тавіс Ормандія (@taviso) 15 Грудня, 2017
Це може здатися страшним, але Keeper уже позначив проблему, і станом на вчора було випущено нове оновлення, щоб вирішити проблему. Компанія звернулася до цього в блозі:
Усі клієнти, які використовують розширення браузера Keeper на Edge, Chrome і Firefox, уже отримали версію 11.4.4 через відповідний процес оновлення розширення веб-браузера. Клієнти, які використовують розширення Safari, можуть вручну оновити до версії 11.4.4, відвідавши Keeper скачати сторінку. До Keeper не надходило повідомлень про будь-яких клієнтів, які постраждали від цієї помилки. Програми для мобільних пристроїв і настільних комп’ютерів не постраждали й не потребують оновлення.
Ми сподіваємося, що нове оновлення вирішить проблему, і як пораду рекомендуємо вам оновити всі програми, щоб запобігти будь-яким атакам. Ви можете завантажити розширення для Edge із Microsoft Store нижче.
[appbox windowsstore 9wzdncrdmpt6]
Вулиця: Windows Останні; Project Zero; Keeper