Kritiska kļūme turētājā, Windows 10 paroļu pārvaldnieks

Turētājs ir Windows 10 paroļu pārvaldnieka nosaukums, kas tiek piegādāts bez maksas ar katru jauno Windows 10 eksemplāru. Diemžēl jaunajā Keeper versijā Google Project Zero pētnieks Travis Ormandijs ir atklājis kritisku trūkumu, un to neizlaboja gandrīz astoņas dienas.

Turētājs ir Windows 10 bezmaksas paroļu pārvaldnieks

'' Esmu izveidojis jaunu Windows 10 VM ar senatnīgu attēlu no MSDN un esmu pamanījis, ka trešās puses paroļu pārvaldnieks ir instalēts pēc noklusējuma. Nepagāja ilgs laiks, lai atrastu kritisku ievainojamību , ” tā teica Ormandija.

Keeper kļūda tika atrasta svaigā Windows 10 kopijā, kas lejupielādēta no Microsoft izstrādātāju tīkla, savukārt šīs lietotnes neiekļautā versija jau ir bijusi pakļauta šai kļūdai vairāk nekā gadu.

Sakarā ar šo neveiksmi, pieteikumu Es caur satura skriptu ievadīju uzticamu lietotāja saskarni neuzticamās tīmekļa lapās, un rezultātā vietnes varēja nozagt lietotāju akreditācijas datus, izmantojot klikšķināšanu un citas līdzīgas metodes.

Lai pārbaudītu savus atklājumus, Ormandija arī izlaida koncepcijas pierādījuma izmantošanu, kas parādīja, ka tad, kad lietotājs saglabāja savu Twitter paroli Keeper lietotnē, to bija viegli nozagt. Šīs paroles pārvaldnieka izstrādātāji problēmu atrisināja 24 stundu laikā pēc tam, kad Ormandija dalījās secinājumos. Viņi ir arī izlaiduši automātisku lietotnes versijas 11.3 atjauninājumu.

Keeper izstrādātāji apgalvo, ka neviens no lietotnes paplašinājumiem nav ticis ietekmēts, taču taisnība, ka kļūda tur palika astoņas dienas.

Hackread fonts