Kritisk fejl i keeper, Windows 10-adgangskodemanager

Keeper er navnet på Windows 10-adgangskodeadministratoren, der leveres gratis med hver nye kopi af Windows 10. Desværre er en kritisk fejl identificeret af Google Project Zero-forsker Travis Ormandy i den nye version af Keeper og blev ikke rettet af næsten otte dage.

Keeper er Windows 10s gratis adgangskodemanager

'' Jeg har oprettet en ny Windows 10 VM med et uberørt billede fra MSDN og har bemærket, at en tredjeparts password manager er installeret som standard. Det tog ikke lang tid at finde en kritisk sårbarhed , ” sagde Ormandy.

Keeper-fejlen blev fundet i en frisk kopi af Windows 10, der blev downloadet fra Microsoft Developer Network, mens den ikke-inkluderede version af denne app allerede er blevet udsat for denne bug i over et år.

På grund af denne fiasko, applikationen Jeg injicerede en betroet brugergrænseflade på upålidelige websider gennem et indholdsskript, og som et resultat kunne hjemmesiderne stjæle brugeroplysninger ved hjælp af clickjacking og andre lignende teknikker.

For at teste deres fund frigav Ormandy også en proof-of- concept- udnyttelse, som viste, at når en bruger gemte deres Twitter-adgangskode i Keeper-appen, var det let at stjæle. Udviklerne af denne adgangskodechef løste problemet inden for 24 timer efter, at Ormandy delte deres fund. De har også frigivet en automatisk opdatering til appens version 11.3.

Keepers udviklere hævder, at ingen af ​​appens udvidelser er blevet påvirket, men det er sandt, at fejlen blev der i otte dage.

Hackread font