Kritinė laikiklio klaida, „Windows 10“ slaptažodžių tvarkyklė

„Keeper“ yra „Windows 10“ slaptažodžių tvarkyklės pavadinimas, nemokamai pateikiamas su kiekviena nauja „Windows 10“ kopija. Deja, naujojoje „Keeper“ versijoje „Google Project Zero“ tyrėjas Travisas Ormandy nustatė esminį trūkumą ir jo neištaisė beveik aštuonias dienas.

„Keeper“ yra nemokama „Windows 10“ slaptažodžių tvarkyklė

'' Aš sukūriau naują Windows 10 VM su nesugadintu vaizdu iš MSDN ir pastebėjau, kad trečiosios šalies slaptažodžių tvarkyklė yra įdiegta pagal numatytuosius nustatymus. Nepavyko ilgai surasti kritinio pažeidžiamumo “ , - sakė Ormandy.

„Keeper“ klaida buvo rasta naujoje „Windows 10“ kopijoje, atsisiųstoje iš „Microsoft Developer Network“, tuo tarpu neįtraukta šios programos versija jau daugiau nei metus susiduria su šia klaida.

Dėl šios nesėkmės programa Aš per turinio scenarijų įvesdavau patikimą vartotojo sąsają į nepatikimus tinklalapius, todėl svetainės galėjo pavogti vartotojo kredencialus naudodamos „clickjacking“ ir kitus panašius metodus.

Norėdami patikrinti savo išvadas, „ Ormandy“ taip pat išleido koncepcijos įrodymo išnaudojimą, kuris parodė, kad vartotojui išsaugojus „Twitter“ slaptažodį „Keeper“ programoje, jį buvo lengva pavogti. Šio slaptažodžio tvarkyklės kūrėjai problemą išsprendė per 24 valandas po to, kai „Ormandy“ pasidalino savo išvadomis. Jie taip pat išleido automatinį programos 11.3 versijos atnaujinimą.

„Keeper“ kūrėjai tvirtina, kad nė vienam programos plėtiniui tai nebuvo padaryta, tačiau tiesa, kad klaida liko ten aštuonias dienas.

„Hackread“ šriftas