Windows 10 paroļu pārvaldniekā ir atklāta ievainojamība

Sistēmā Windows 10 ir standarta paroļu pārvaldnieks ar nosaukumu Keeper. Pēc noklusējuma tas tiek instalēts ierīcēs ar šo operētājsistēmu. Tomēr ir atklāta kritiska ievainojamība, kas var izraisīt pieteikšanās atslēgu atklāšanu. Tāpat, pēc Tavisa Ormandija teiktā, šī nav pirmā līdz šim atklātā kļūme. Kas ir nogājis greizi?

Windows 10 paroļu pārvaldniekā ir atklāta ievainojamība

Datoru drošības eksperts bija instalējis Windows 10 kopiju, kas lejupielādēta no Microsoft izstrādātāju tīkla. Šķiet, ka šim iepriekš instalētajam paroļu pārvaldītājam šajā kopijā ir kritiska ievainojamība. Šī kļūda ļauj jebkurai vietnei nozagt mūsu pieteikšanās paroles.

Es izveidoju jaunu Windows 10 VM ar senatnīgu attēlu no MSDN, un pamanīju, ka trešās puses paroļu pārvaldnieks tagad ir instalēts pēc noklusējuma. Nepagāja ilgs laiks, lai atrastu kritisku ievainojamību.

- Tavis Ormandy (@taviso), 2017. gada 15. decembris

Ievainojamība paroļu pārvaldniekā

Lai gan šķiet, ka šajā gadījumā tā nav Microsoft izstrāde, kā arī nepieder pie paša Windows 10 koda, jo uzņēmums saviem lietotājiem piedāvā programmatūru, ko izstrādājušas trešās puses, lai lietotāji varētu to izmantot. Šeit tika atklāta kritiskā kļūme. Tas ļauj jebkurai tīmekļa lapai nozagt Windows 10 lietotāju paroles. Par problēmu jau ziņots korporācijai Microsoft.

Keeper izstrādātāji jau ir izlaiduši risinājumu, kad viņiem tika ziņots par problēmu. Turklāt viņi ir padarījuši lietotājiem pieejamu automātisku atjaunināšanu, lai instalētu jauno pārvaldnieka versiju. Lai gan šķiet, ka Microsoft turpina piedāvāt neaizsargātu versiju. Tāpēc Microsoft paiet pārāk ilgs laiks, lai piedāvātu šo jauno versiju.

Tāpēc lietotājiem, kuri izmanto paroļu pārvaldnieku, vislabāk ir lejupielādēt jauno Keeper versiju. Lai gan ir sagaidāms, ka šī pārvaldnieka labotā versija drīz nonāks operētājsistēmā Windows 10.

Hackeread fonts