Tavis Ormandy, badacz bezpieczeństwa w Google, odkrył niedawno lukę czającą się w Menedżerze haseł systemu Windows 10. Ten błąd umożliwia cyberprzestępcom kradzież haseł.
Ta wada jest związana z aplikacją menedżera haseł Keeper innej firmy, która jest wstępnie zainstalowana na wszystkich urządzeniach z systemem Windows 10. Wygląda na to, że ta wada jest dość podobna do tej, którą ten sam badacz bezpieczeństwa odkrył w 2016 roku.
Szczegóły dotyczące cyberataku
Tavis Ormandy stwierdził, że pamięta zgłoszenie błędu dotyczącego sposobu, w jaki uprzywilejowany interfejs użytkownika został wstrzyknięty na strony. Twierdził, że tym razem dzieje się ponownie to samo, co wydarzyło się w 2016 roku w obecnej wersji Menedżera haseł.
Tavis zademonstrował atak i podzielił się wszystkimi niezbędnymi szczegółami w Project Zero. Wydaje się, że ten błąd podlega 90-dniowemu terminowi ujawnienia, a to oznacza, że po upływie tych 90 dni Tavis będzie mógł udostępnić pełne szczegóły tej usterki oraz sposób, w jaki można ją wykorzystać publicznie.
Według niego stworzył nową maszynę wirtualną z systemem Windows 10 z nieskazitelnym obrazem z MSDN i zauważył, że menedżer haseł innej firmy jest instalowany domyślnie. Następnie znalazł krytyczną lukę.
Problem został już zgłoszony i wprowadzono poprawkę
Keeper zgłosił problem już kilka dni temu i wprowadzono nową aktualizację, aby go naprawić. Firma omówiła tę kwestię w poście na blogu.
We wpisie Keepera stwierdzono, że wszyscy klienci, którzy używają rozszerzenia przeglądarki w Chrome, Edge i Firefox, otrzymali już wersję 11.4.4 w ramach procesu aktualizacji rozszerzenia przeglądarki internetowej. Użytkownicy korzystający z rozszerzenia Safari mogą ręcznie zaktualizować do wersji 11.4.4, odwiedzając firmową stronę pobierania. Keeper powiedział również, że ten problem nie dotyczy aplikacji mobilnych i stacjonarnych i nie wymagają one aktualizacji.
Aby zapobiec cyberatakom, zalecamy aktualizowanie wszystkich aplikacji. Możesz pobrać rozszerzenie dla Microsoft Edge ze sklepu Microsoft.
POWIĄZANE HISTORIE DO SPRAWDZENIA:
- 10 najlepszych narzędzi do odzyskiwania utraconego hasła do systemu Windows 10
- Co zrobić, gdy zgubisz hasło do systemu Windows 10?
- Top 5 menedżerów haseł systemu Windows 10 do użycia
- Bezpieczeństwo cybernetyczne
- Windows 10