Google研究人员在预装的Windows 10密码管理器中发现漏洞_最新动态_新闻资讯_程序员俱乐部

中国优秀的程序员网站程序员频道CXYCLUB技术地图
热搜:
更多>>
 
您所在的位置: 程序员俱乐部 > 新闻资讯 > 最新动态 > Google研究人员在预装的Windows 10密码管理器中发现漏洞

Google研究人员在预装的Windows 10密码管理器中发现漏洞

 2017/12/17 12:59:01    程序员俱乐部  我要评论(0)
  • 摘要:谷歌安全研究员TavisOrmandy之前报告并披露了Windows及其功能中的几个主要漏洞。现在他发现了一个影响微软用户的新安全漏洞。这一次,他发现Keeper密码管理器中存在一些缺陷,预装在Windows10的某些版本中,Ormandy解释说,这类似于他在2016年8月发现的漏洞。Ormandy在12月14日解释说:“我记得前一阵子提交了一个关于如何在页面中注入特权UI的bug。”我检查了一下,他们又用这个版本再次做同样的事情
  • 标签:Windows Google 发现 漏洞 研究

google-researcher-finds-flaw-in-pre-installed-windows-10-password-manager-519001-2.jpg

  谷歌安全研究员 Tavis Ormandy 之前报告并披露了 Windows 及其功能中的几个主要漏洞。现在他发现了一个影响微软用户的新安全漏洞。这一次,他发现 Keeper 密码管理器中存在一些缺陷,预装在 Windows 10 的某些版本中,Ormandy 解释说,这类似于他在 2016 年 8 月发现的漏洞。

  Ormandy 在 12 月 14 日解释说:“我记得前一阵子提交了一个关于如何在页面中注入特权 UI 的 bug。”我检查了一下,他们又用这个版本再次做同样的事情。虽然这不是 Windows 或者其他微软产品的安全漏洞,但是它确实暴露了 Windows 用户的细节,因为攻击者可以依靠 Keeper 窃取他们的密码。

  Ormandy 也发布了一个盗取 Twitter 密码的工作 demo 来演示这个漏洞,并解释说:“这是一个完全妥协的守门员安全,允许任何网站窃取任何密码。微软表示在 Ormandy 的帖子后不久就知道这个问题,并解释说应用程序的更新正在进行中。一位公司发言人说:我们知道这个第三方应用程序的报告,而开发者正在提供更新以保护客户。

  Keeper 密码管理器的开发公司已经认识到这个漏洞,并且发布了对版本 11.4.4 的更新来解决它。该公司表示,这个漏洞只能通过将用户引导到利用该缺陷的特制网站来利用,因此,在修补应用程序之前,远离可能对用户电脑构成威胁的链接是一种保持安全的简单方法。

  该公司解释说:“这个潜在的漏洞要求 Keeper 用户在登录到浏览器扩展中时被诱骗到恶意网站,然后通过使用“clickjacking”技术来欺骗用户输入,以在浏览器扩展中执行特权代码。尽管 Windows 操作系统本身并不存在这个缺陷,但它再一次提出了微软将软件推向用户的策略,这个策略可能暴露出他们的数据。目前尚不清楚谁是 Keeper 预先安装的捆绑交易一部分,但好的一面是,用户可以卸载禁用这款软件。

发表评论
用户名: 匿名