Krytyczny błąd w opiekunu, menedżerze haseł Windows 10

Keeper to nazwa menedżera haseł systemu Windows 10, który jest dostępny bezpłatnie z każdą nową kopią systemu Windows 10. Niestety, krytyczna usterka została zidentyfikowana przez badacza Google Project Zero Travis Ormandy w nowej wersji Keeper i nie została naprawiona przez prawie osiem dni.

Keeper to darmowy menedżer haseł dla systemu Windows 10

'' Utworzyłem nową maszynę wirtualną z systemem Windows 10 z nieskazitelnym obrazem z MSDN i zauważyłem, że domyślnie jest zainstalowany menedżer haseł innej firmy. Znalezienie krytycznej luki nie zajęło dużo czasu ”- powiedział Ormandy.

Błąd Keeper został znaleziony w nowej kopii systemu Windows 10 pobranej z sieci Microsoft Developer Network, a niezarejestrowana wersja tej aplikacji była już narażona na ten błąd od ponad roku.

Z powodu tej awarii aplikacja Wstrzykiwałem zaufany interfejs użytkownika do niewiarygodnych stron internetowych za pomocą skryptu treści, w wyniku czego strony były w stanie ukraść dane uwierzytelniające użytkownika za pomocą kliknięcia i innych podobnych technik.

Aby przetestować swoje odkrycia, Ormandy opublikowało także exploit typu proof-of- concept, który pokazał, że kiedy użytkownik zapisał swoje hasło na Twitterze w aplikacji Keeper, łatwo było je ukraść. Twórcy tego menedżera haseł rozwiązali problem w ciągu 24 godzin od udostępnienia swoich ustaleń przez Ormandy. Wydali także automatyczną aktualizację do wersji 11.3 aplikacji.

Programiści Keepera twierdzą, że nie wpłynęło to na żadne rozszerzenie aplikacji, ale prawdą jest, że błąd pozostał tam przez osiem dni.

Hackread Font