谷歌發現Windows 10密碼管理器有漏洞

谷歌安全研究員 Tavis Ormandy 在 Windows 10 的密碼管理器中發現了一個漏洞，該漏洞允許攻擊者竊取密碼。 該漏洞與安裝了 Windows 10 設備的第三方 Keeper 密碼管理器應用程序有關。 塔維斯說，這個缺陷與他在 2016 年發現的缺陷相似。

我記得不久前提交了一個關於他們如何將特權 UI 注入頁面的錯誤。 “我查了一下，他們在這個版本上又做了同樣的事情。

——塔維斯·奧曼迪

Tavis 演示了這次攻擊，並作為零項目的一部分分享了詳細信息。 該漏洞有 90 天的披露期限，這意味著一旦 90 天結束，Tavis 可以自由分享有關該漏洞的詳細信息以及如何公開利用它。

我使用來自 MSDN 的原始映像創建了一個新的 Windows 10 VM，並註意到現在默認安裝了第三方密碼管理器。 很快就找到了一個關鍵漏洞。 https://t.co/dbkznucgLm

- Tavis Ormandy（@taviso） 2017 年 12 月 15 日

這聽起來可能很可怕，但 Keeper 已經標記了這個問題，並且截至昨天，已經推送了一個新的更新來解決這個問題。 該公司在一篇博文中解決了這個問題：

所有在 Edge、Chrome 和 Firefox 上運行 Keeper 瀏覽器擴展的客戶都已通過各自的 Web 瀏覽器擴展更新流程收到 11.4.4 版。 使用 Safari 擴展程序的客戶可以通過訪問 Keeper 手動更新到版本 11.4.4 下載頁面. 尚未向 Keeper 報告任何受此錯誤影響的客戶的報告。 移動應用程序和桌面應用程序不受影響，不需要更新。

我們希望新的更新能夠解決該問題，並且作為建議，我們建議您將所有應用程序更新到最新版本以防止任何攻擊。 您可以從下面的 Microsoft Store 下載 Edge 擴展。

[appbox windowsstore 9wzdncrdmpt6]

街道： Windows最新; Zero項目; 管理人