Google研究人员在预装的Windows 10密码管理器中发现了缺陷

文章来源:绿盟市场 时间:2017-12-17 11:57

这一次,Keeper的密码管理器中存在一些缺陷,预装在Windows 10的某些版本中,Ormandy解释说,这类似于他在2016年8月发现的漏洞。


Ormandy在12月14日解释说:“我记得前一阵子提交了一个关于如何在页面中注入特权UI的bug。”我检查了一下,他们又用这个版本再次做同样的事情。


虽然这不是Windows或者其他微软产品的安全漏洞,但是它确实暴露了Windows用户的细节,因为攻击者可以依靠Keeper窃取他们的密码。


Ormandy也发布了一个盗取Twitter密码的工作演示来演示这个漏洞,并解释说:“这是一个完全妥协的守门员安全,允许任何网站窃取任何密码。

更新到版本11.4.4修复了这个缺陷

微软表示在Ormandy的帖子后不久就知道这个问题,并解释说应用程序的更新正在进行中。一位公司发言人说:“我们知道这个第三方应用程序的报告,而开发者正在提供更新以保护客户。


Keeper密码管理器的开发公司已经认识到这个漏洞,并且发布了对版本11.4.4的更新来解决它,并解释说它没有意识到任何攻击。 Edge,Chrome和Firefox的浏览器扩展程序会自动更新。


Keeper Security表示,这个漏洞只能通过将用户引导到利用该缺陷的特制网站来利用,因此,在修补应用程序之前,远离可能对您的计算机构成威胁的链接是一种保持安全的简单方法。


该公司解释说:“这个潜在的漏洞要求Keeper用户在登录到浏览器扩展中时被诱骗到恶意网站,然后通过使用'clickjacking'技术来欺骗用户输入,以在浏览器扩展中执行特权代码。


更多