Специалист Google Project Zero и известный багхантер Тевис Орманди (Tavis Ormandy) выявил серьезную проблему в стороннем менеджере паролей Keeper, который с момента релиза Windows 10 Anniversary Update (версия 1607) входит в состав ОС. Дело в том, что с выходом данной версии Microsoft добавила в операционную систему функцию Content Delivery Manager, которая может скрыто устанавливать различные «рекомендуемые приложения».

«Я уже слышал о Keeper ранее, и помню, как некоторое время назад находил баг, связанный с тем, как они внедряют привилегированный UI на страницы, — пишет Орманди. — Я перепроверил и обнаружил, что они продолжают делать то же самое и в новой версии».

Эксперт объясняет, что обнаруженная им проблема чрезвычайно опасна, так как полностью компрометирует безопасность Keeper, позволяя любому сайту похитить любые пароли пользователя. В качестве proof-of-concept эксперт создал специальную страницу, на которой пользователи могут увидеть эксплуатацию бага на практике, если хранят в Keeper пароль от Twitter.

Разработчики Keeper Security полностью признали правоту эксперта, и менее чем за 24 часа подготовили экстренное исправление для своего продукта. Пользователям расширения для браузера настоятельно рекомендовано обновиться до безопасной версии 11.4. Также разработчики подчеркнули, что им неизвестно о каких-либо случаях эксплуатации данной бреши.

7 комментариев

  1. Themistocles

    18.12.2017 at 11:37

    ТОлько keepass, только хардкор.

  2. Azim_D3Tm

    18.12.2017 at 12:26

    У тебя не украдут пароль от twitter, если ты не пользуешься twitter 😀

  3. john_

    19.12.2017 at 14:07

    У тебя не украдут пароль от twitter, если ты не очень тупой

    • user2010

      25.12.2017 at 15:54

      А ты острый, ну ну! Тут тест был в журнале, так еще тогда выяснилось, что проблемы есть!

  4. john_

    19.12.2017 at 14:08

    Давно двухыакторная авторизация везде.

  5. john_

    19.12.2017 at 14:08

    Двухфакторная*

  6. mascha227

    29.12.2017 at 01:51

    10-ка может скрыто устанавливать различные «рекомендуемые приложения»?
    ну и отстой!

Оставить мнение