Windows 10 parola yöneticisi kalecisinde kritik hata

Keeper, Windows 10'un her yeni kopyasıyla birlikte gelen Windows 10 şifre yöneticisinin adıdır. Ne ​​yazık ki, Google Project Zero araştırmacısı Travis Ormandy tarafından Keeper'ın yeni sürümünde kritik bir kusur tespit edildi ve tarafından düzeltilmedi neredeyse sekiz gün.

Keeper, Windows 10'un ücretsiz şifre yöneticisidir

'' MSDN'den bozulmamış bir görüntüyle yeni bir Windows 10 VM oluşturdum ve varsayılan olarak bir üçüncü taraf şifre yöneticisinin kurulduğunu fark ettim. Kritik bir güvenlik açığı bulmak uzun sürmedi ” diyor Ormandy.

Keeper hatası, Microsoft Developer Network'ten indirilen yeni bir Windows 10 kopyasında bulundu, bu uygulamanın dahil olmayan sürümü zaten bir yıldan uzun süredir bu hataya maruz kaldı.

Bu hata nedeniyle, uygulama Bir içerik komut dosyası aracılığıyla güvenilir olmayan web sayfalarına güvenilir bir kullanıcı arabirimi enjekte ediyordum ve sonuç olarak web siteleri, clickjacking ve diğer benzer teknikleri kullanarak kullanıcı kimlik bilgilerini çalabiliyordu.

Bulgularını test etmek için Ormandy, bir kullanıcı Twitter şifresini Keeper uygulamasına kaydettiğinde çalmanın kolay olduğunu gösteren bir kavram kanıtı sömürüsü de yayınladı. Bu şifre yöneticisinin geliştiricileri, Ormandy bulgularını paylaştıktan sonraki 24 saat içinde sorunu çözdü. Ayrıca uygulamanın 11.3 sürümüne otomatik bir güncelleme yayınladılar .

Keeper'ın geliştiricileri, uygulamanın uzantılarının hiçbirinin etkilenmediğini iddia ediyor, ancak hatanın sekiz gün boyunca orada kaldığı doğru.

Hackread Yazı Tipi