Google знайшов уразливість у менеджері паролів Windows 10
2 хв. читати
Опубліковано
Поділитися цією статтею
Удосконалити цей посібник
Прочитайте нашу сторінку розкриття інформації, щоб дізнатися, як ви можете допомогти MSPoweruser підтримувати редакційну команду Читати далі
Дослідник безпеки Google Тевіс Орманді виявив помилку в менеджері паролів Windows 10, яка дозволяє зловмисникам викрадати паролі. Недолік полягає в сторонньому додатку для керування паролями Keeper, який поставляється з інстальованими пристроями Windows 10. Тевіс каже, що недолік схожий на той, який він виявив ще в 2016 році.
Я пам’ятаю, як деякий час тому повідомляв про помилку про те, як вони впроваджували привілейований інтерфейс користувача на сторінки. «Я перевірив, і вони знову роблять те саме з цією версією.
– Тевіс Орманді
Тавіс продемонстрував атаку та поділився подробицями в рамках Project Zero. Помилка підлягає 90-денному терміну розкриття, що означає, що після закінчення 90 днів Tavis може вільно поділитися деталями про помилку та способи її використання.
Я створив нову віртуальну машину Windows 10 із незайманим образом із MSDN і помітив, що сторонній менеджер паролів тепер установлено за замовчуванням. Знайти критичну вразливість не зайняло багато часу. https://t.co/dbkznucgLm
- Тавіс Ормандія (@taviso) 15 Грудня, 2017
Це може здатися страшним, але Keeper уже позначив проблему, і станом на вчора було випущено нове оновлення, щоб вирішити проблему. Компанія звернулася до цього в блозі:
Усі клієнти, які використовують розширення браузера Keeper на Edge, Chrome і Firefox, уже отримали версію 11.4.4 через відповідний процес оновлення розширення веб-браузера. Клієнти, які використовують розширення Safari, можуть вручну оновити до версії 11.4.4, відвідавши Keeper скачати сторінку. До Keeper не надходило повідомлень про будь-яких клієнтів, які постраждали від цієї помилки. Програми для мобільних пристроїв і настільних комп’ютерів не постраждали й не потребують оновлення.
Ми сподіваємося, що нове оновлення вирішить проблему, і як пораду рекомендуємо вам оновити всі програми, щоб запобігти будь-яким атакам. Ви можете завантажити розширення для Edge із Microsoft Store нижче.
[appbox windowsstore 9wzdncrdmpt6]
Вулиця: Windows Останні; Project Zero; Keeper
