Kritická chyba v správcovi, správca hesiel systému Windows 10

Keeper je názov správcu hesiel pre systém Windows 10, ktorý sa dodáva bezplatne s každou novou kópiou systému Windows 10. Kritickú chybu však bohužiaľ identifikoval výskumník Google Project Zero, Travis Ormandy, v novej verzii aplikácie Keeper, ktorý nebol opravený. takmer osem dní.

Keeper je bezplatný správca hesiel pre systém Windows 10

'' Vytvoril som nový Windows 10 VM s nedotknutým obrazom od MSDN a všimol som si, že predvolene je nainštalovaný správca hesiel tretích strán. Nájdenie kritickej zraniteľnosti netrvalo dlho , “ povedal Ormandy.

Chyba Keeper bola nájdená v novej kópii systému Windows 10 stiahnutej zo siete Microsoft Developer Network, zatiaľ čo nezaradená verzia tejto aplikácie bola tejto chybe vystavená už viac ako rok.

Kvôli tomuto zlyhaniu, aplikácia Vstrekoval som dôveryhodné používateľské rozhranie do nespoľahlivých webových stránok prostredníctvom skriptu s obsahom a v dôsledku toho boli webové stránky schopné ukradnúť používateľské poverenia pomocou clickjackingu a ďalších podobných techník.

Na vyskúšanie svojich zistení vydala spoločnosť Ormandy tiež dôkaz o zneužití konceptu, ktorý ukázal, že keď používateľ uložil svoje heslo Twitter v aplikácii Keeper, bolo ľahké ho ukradnúť. Vývojári tohto správcu hesiel tento problém vyriešili do 24 hodín po tom, čo sa Ormandy podelil o svoje zistenia. Vydali tiež automatickú aktualizáciu aplikácie na verziu 11.3.

Vývojári Keeperu tvrdia, že to neovplyvnilo žiadne z rozšírení aplikácie, ale je pravda, že chyba tu zostala osem dní.

Hackread Font