Kritieke bug in keeper, de Windows 10-wachtwoordbeheerder

Keeper is de naam van de Windows 10-wachtwoordbeheerder die gratis wordt geleverd bij elk nieuw exemplaar van Windows 10. Helaas is er door Google Project Zero-onderzoeker Travis Ormandy een kritieke fout geïdentificeerd in de nieuwe versie van Keeper en niet gecorrigeerd door bijna acht dagen.

Keeper is de gratis wachtwoordbeheerder van Windows 10

'' Ik heb een nieuwe Windows 10-VM gemaakt met een ongerepte afbeelding van MSDN en heb gemerkt dat standaard een wachtwoordbeheerder van derden is geïnstalleerd. Het duurde niet lang om een ​​kritieke kwetsbaarheid te vinden ', zei Ormandy.

De Keeper-bug werd gevonden in een nieuwe kopie van Windows 10 gedownload van het Microsoft Developer Network, terwijl de niet-inbegrepen versie van deze app al meer dan een jaar aan deze bug is blootgesteld.

Door deze storing is de applicatie Ik injecteerde een vertrouwde gebruikersinterface in onbetrouwbare webpagina's via een inhoudsscript, en daardoor konden de websites gebruikersreferenties stelen met clickjacking en andere vergelijkbare technieken.

Om hun bevindingen te testen, bracht Ormandy ook een proof-of- concept- exploit uit, waaruit bleek dat wanneer een gebruiker zijn Twitter-wachtwoord opsloeg in de Keeper-app, het gemakkelijk te stelen was. De ontwikkelaars van deze wachtwoordbeheerder hebben het probleem binnen 24 uur opgelost nadat Ormandy hun bevindingen had gedeeld. Ze hebben ook een automatische update naar versie 11.3 van de app uitgebracht.

De ontwikkelaars van Keeper beweren dat geen van de extensies van de app is aangetast, maar het is waar dat de bug daar acht dagen is gebleven.

Hackread-lettertype