Kritična napaka v skrbniku, skrbniku gesla za Windows 10

Keeper je ime upravitelja gesla za Windows 10, ki je brezplačno z vsako novo kopijo sistema Windows 10. Na žalost je raziskovalca Google Project Zero Travis Ormandy v novi različici Keeper odkril kritično napako in ga ni odpravil skoraj osem dni.

Keeper je brezplačni upravitelj gesla za Windows 10

'' Ustvaril sem nov sistem Windows 10 VM z neokrnjeno sliko iz MSDN in opazil, da je privzeto nameščen upravljavec gesel tretje osebe. Ni trajalo dolgo, da smo našli kritično ranljivost , " je dejal Ormandy.

Hrošč Keeper je bil najden v sveži kopiji sistema Windows 10, ki je bila prenesena iz Microsoftove mreže razvijalcev, medtem ko je različica te aplikacije, ki ni vključena, tej napaki izpostavljena že več kot leto dni.

Zaradi te napake aplikacija S pomočjo skripta vsebine sem vbrizgal zaupanja vreden uporabniški vmesnik na nezanesljive spletne strani in kot rezultat tega so spletna mesta lahko ukradla uporabniške podatke z uporabo clickjackinga in drugih podobnih tehnik.

Ormandy je za preizkus svojih ugotovitev izdal tudi preizkus izkoriščanja, ki je pokazal, da je uporabnik, ko je v aplikaciji Keeper shranil svoje geslo za Twitter, enostavno ukradel. Razvijalci tega skrbnika za geslo so težavo rešili v 24 urah po tem, ko je Ormandy delil svoje ugotovitve. Izdali so tudi samodejno posodobitev na različico 11.3 aplikacije.

Keeperjevi razvijalci trdijo, da nobena od razširitev aplikacije ni vplivala, res pa je, da je hrošč ostal tam osem dni.

Pisava Hackread