Tavis Ormandy, badacz bezpieczeństwa w Google, niedawno odkrył lukę w Menedżerze haseł systemu Windows 10. Ten błąd pozwala cyberprzestępcom na kradzież haseł.

Ta wada pochodzi z aplikacji menedżera haseł Keeper innej firmy, która jest wstępnie zainstalowana na wszystkich urządzeniach z systemem Windows 10. Wydaje się, że ta wada jest dość podobna do tej, którą ten sam badacz bezpieczeństwa odkrył w 2016 roku.

Szczegóły dotyczące cyberataku

Tavis Ormandy stwierdził, że pamięta zgłoszenie błędu dotyczącego sposobu wstrzykiwania uprzywilejowanego interfejsu użytkownika na strony. Twierdził, że tym razem dzieje się to ponownie tak samo, jak w 2016 roku w przypadku bieżącej wersji Menedżera haseł.

Tavis zademonstrował atak i podzielił się wszystkimi niezbędnymi szczegółami w Projekcie Zero. Ten błąd wydaje się podlegać 90-dniowemu terminowi ujawnienia, a to oznacza, że ​​po upływie tych 90 dni Tavis będzie mógł udostępnić pełne szczegóły tej usterki oraz sposób, w jaki można ją wykorzystać publicznie.

Według niego, stworzył nową maszynę wirtualną z systemem Windows 10 z nieskazitelnym obrazem z MSDN i zauważył, że domyślnie instalowany jest menedżer haseł innych firm. Po tym znalazł krytyczną lukę.

Problem jest już oflagowany i wprowadzono poprawkę

Keeper już oznaczył problem kilka dni temu i została wprowadzona nowa aktualizacja, aby go naprawić. Firma omówiła ten problem w poście na blogu.

W postu Keepera stwierdzono, że wszyscy klienci korzystający z rozszerzenia przeglądarki w przeglądarce Chrome, Edge i Firefox otrzymali już wersję 11.4.4 podczas procesu aktualizacji rozszerzenia przeglądarki internetowej. Użytkownicy korzystający z rozszerzenia Safari mogą ręcznie zaktualizować do wersji 11.4.4, odwiedzając stronę pobierania firmy. Keeper powiedział również, że ten problem nie dotyczy aplikacji mobilnych i stacjonarnych i nie wymagają aktualizacji.

Aby zapobiec cyberatakom, zalecamy aktualizowanie wszystkich aplikacji. Możesz pobrać rozszerzenie dla Microsoft Edge ze sklepu Microsoft.