Googlen turvallisuustutkija Tavis Ormandy oli äskettäin löytänyt haavoittuvuuden, joka piilee Windows 10: n Password Managerissa. Tämän virheen avulla verkkohyökkääjät voivat varastaa salasanoja.

Tämä virhe tulee kolmannen osapuolen Keeper-salasananhallintaohjelmaan, joka on esiasennettu kaikkiin Windows 10 -laitteisiin. Näyttää siltä, ​​että tämä virhe on melko samanlainen kuin se, jonka sama turvallisuustutkija löysi jo vuonna 2016.

Tietoja verkkohyökkäyksestä

Tavis Ormandy kertoi muistavansa virheen tekemisen tavasta, jolla etuoikeutettu käyttöliittymä ruiskutettiin sivuille. Hän väitti, että tällä kertaa tapahtuu jälleen sama asia, joka tapahtui vuonna 2016 nykyisessä Password Manager -versiossa.

Tavis osoitti hyökkäyksen ja jakoi kaikki tarvittavat yksityiskohdat Projektin nollassa. Tälle virhelle näyttää 90 päivän paljastamispäivämäärä, ja tämä tarkoittaa, että näiden 90 päivän kuluttua Tavis voi vapaasti jakaa täydelliset yksityiskohdat tästä puutteesta ja tavasta, jolla sitä voidaan käyttää julkisesti.

Hänen mukaansa hän loi MSDN: stä uuden Windows 10 VM: n, jolla on koskematon kuva, ja hän huomasi, että kolmannen osapuolen salasananhallinta asennetaan oletuksena. Sen jälkeen hän löysi kriittisen haavoittuvuuden.

Aihe on jo merkitty, ja korjaus otettiin käyttöön

Keeper ilmoitti ongelmasta jo muutama päivä sitten, ja uusi päivitys otettiin käyttöön sen korjaamiseksi. Yhtiö keskusteli asiasta blogiviestissä.

Keeperin viestin mukaan kaikki asiakkaat, jotka käyttävät selainlaajennusta Chromessa, Edgessä ja Firefoxissa, saivat jo version 11.4.4 verkkoselaimen laajennuspäivityksen kautta. Käyttäjät, jotka käyttävät Safari-laajennusta, voivat päivittää manuaalisesti versioon 11.4.4 käymällä yrityksen lataussivulla. Keeper kertoi myös, että tämä ongelma ei vaikuttanut mobiili- ja työpöytäsovelluksiin, eivätkä ne vaadi päivitystä.

Tietoverkkohyökkäysten estämiseksi suosittelemme, että pidät kaikki sovelluksesi ajan tasalla. Voit ladata Microsoft Edge -laajennuksen Microsoft-kaupasta.