Tavis Ormandy, výzkumný pracovník v oblasti zabezpečení společnosti Google, nedávno objevil zranitelnost číhající ve Správci hesel systému Windows 10. Tato chyba umožňuje kybernetickým útočníkům krást hesla.

Tato chyba je součástí aplikace Keeper Password Manager od třetích stran, která je předinstalovaná na všech zařízeních se systémem Windows 10. Zdá se, že tato chyba je docela podobná té, kterou stejný výzkumný pracovník objevil již v roce 2016.

Podrobnosti týkající se kybernetického útoku

Tavis Ormandy uvedl, že si pamatuje podání chyby ohledně způsobu, jakým bylo do stránek vloženo privilegované uživatelské rozhraní. Tvrdil, že tentokrát se to stane znovu to samé, co se stalo v roce 2016 s aktuální verzí Správce hesel.

Tavis demonstroval útok a sdílel všechny potřebné podrobnosti v projektu Zero. Zdá se, že tato chyba podléhá 90dennímu termínu zveřejnění, což znamená, že po uplynutí těchto 90 dnů bude Tavis volně sdílet veškeré podrobnosti o této chybě a způsobu, jakým může být veřejně zneužita.

Podle něj vytvořil nový Windows 10 VM s nedotčeným obrazem od MSDN a všiml si, že ve výchozím nastavení je nainstalován správce hesel třetích stran. Poté našel kritickou zranitelnost.

Problém je již nahlášen a byla oprava opravena

Keeper již nahlásil problém před několika dny a byla vydána nová aktualizace, která jej opravila. Společnost diskutovala o problému v blogu.

Keeperův příspěvek uvádí, že všichni zákazníci, kteří používají rozšíření prohlížeče v prohlížečích Chrome, Edge a Firefox, již dostali verzi 11.4.4 prostřednictvím procesu aktualizace rozšíření webového prohlížeče. Uživatelé, kteří používají rozšíření Safari, se mohou ručně aktualizovat na verzi 11.4.4 na stránce stahování společnosti. Keeper také uvedl, že tento problém se netýká mobilních a stolních aplikací a nevyžadují aktualizaci.

Chcete-li zabránit jakýmkoli kybernetickým útokům, doporučujeme, abyste své aplikace neustále aktualizovali. Rozšíření pro Microsoft Edge si můžete stáhnout z obchodu Microsoft.