Password manager instalado pelo Windows 10 expõe senhas do usuário

Keeper expõe senhas de usuários

Gerenciador de senhas instalado no Windows 10 expõe senhas do usuário .

Tavis Ormandy do Google Project Zero mostrou um erro no gerenciador de senhas Keeper empacotado com o Windows 10 a partir da versão 1607.

Na última sexta-feira, 15 de dezembro, Ormandy descobriu o erro gerenciador de senha do Keeper que começou a ser embarcado na versão 1607 do Windows 10, “Ouvi falar do Keeper, lembro de ter apresentado um bug há algum tempo sobre como injetaram UI privilegiada nas páginas (issue 917). Eu verifiquei e, eles estão fazendo o mesmo novamente com esta versão.”

O detalhe da operação do bug está na questão mais antiga que ele listou. Ao injetar sua UI confiável em processos não confiáveis, permitiu que uma página da Web mal-intencionada lesse a senha que o usuário inseriu no Keeper.

Muito pouco mudou na nova versão, disse Ormandy, e isso lhe deu a chance de publicar uma demonstração que poderia roubar uma senha do Twitter.

fonte Blog Post by taviso@google.com

A Keeper Security emitiu um patch de correção para o bug.

Ormandy relatou a vulnerabilidade aos desenvolvedores do Keeper, que reconheceu o problema e lançou uma atualização de ,  versão 11.4 ,na sexta-feira, removendo a funcionalidade .

Uma vez que a vulnerabilidade só afeta a versão 11 do aplicativo Keeper, que foi lançado em 6 de dezembro como uma atualização principal da extensão do navegador, a vulnerabilidade é diferente da que Ormandy relatou há seis meses.

A Keeper Security também acrescentou que a empresa não notou nenhum ataque usando esta vulnerabilidade de segurança na natureza.

Quanto aos usuários do Windows 10, Ormandy disse que os usuários não seriam vulneráveis ​​ao roubo de senha, a menos que abra o gerenciador de senhas do Keeper e ative o software para armazenar suas senhas.

No entanto, a Microsoft ainda precisa explicar como o gerenciador de senha do Keeper se instala nos computadores dos usuários sem o conhecimento deles.

Minimizando o problema, ao publicar o patch, a empresa observou que uma vítima teria que ser atraída para o site do invasor, enquanto estava logada na extensão do navegador.

 

Veja também:

Drivelock – Proteja sua infraestrutura critica!

Vulnerabilidade no Micorsoft Malware Protection Engine permite o controle total da máquina

Keyloggers pré-instalados são encontrados em 640 modelos de laptops HP

Team Viewer permite controle remoto não autorizado!

UK Recomenda a Desativação do Software Kasrpersky e Barclays Suspende Oferta Gratuita a seus Clientes

 

fonte The Hacker News The Register

por MindSec 19/12/2017
About mindsecblog 317 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.