Предустановленный парольный менеджер в Windows 10 позволял похищать пароли пользователей - «Новости»
Почти полноценную Windows XP теперь можно запустить прямо в браузере - «Новости сети»
Почти полноценную Windows XP теперь можно запустить прямо в браузере - «Новости сети»
Microsoft узнала о критической уязвимости SharePoint ещё два месяца назад, но не смогла её исправить - «Новости сети»
Microsoft узнала о критической уязвимости SharePoint ещё два месяца назад, но не смогла её исправить - «Новости сети»
Слухи: новым руководителем российского издателя «Мира танков» и «Мира кораблей» станет бывший гендиректор «ВКонтакте» - «Новости сети»
Слухи: новым руководителем российского издателя «Мира танков» и «Мира кораблей» станет бывший гендиректор «ВКонтакте» - «Новости сети»
Эксперты рассказали, как не получить штраф за поиск экстремистских материалов - «Новости сети»
Эксперты рассказали, как не получить штраф за поиск экстремистских материалов - «Новости сети»
Многих буквально тошнит от езды в электромобилях, и учёные нашли этому объяснение - «Новости сети»
Многих буквально тошнит от езды в электромобилях, и учёные нашли этому объяснение - «Новости сети»
NVIDIA приступила к производству ИИ-ускорителей GB300 / ServerNews - «Новости сети»
NVIDIA приступила к производству ИИ-ускорителей GB300 / ServerNews - «Новости сети»
10 долгих лет: состоялся официальный запуск экзафлопсного суперкомпьютера Aurora / ServerNews - «Новости сети»
10 долгих лет: состоялся официальный запуск экзафлопсного суперкомпьютера Aurora / ServerNews - «Новости сети»
«Больше похоже на Fallout, чем последние игры серии»: новый геймплей неофициального шутера Fallout: Bakersfield на движке Doom впечатлил фанатов - «Новости сети»
«Больше похоже на Fallout, чем последние игры серии»: новый геймплей неофициального шутера Fallout: Bakersfield на движке Doom впечатлил фанатов - «Новости сети»
Cyberpunk 2077 протестировали на компьютерах Apple Mac с чипами от M1 до M4 - «Новости сети»
Cyberpunk 2077 протестировали на компьютерах Apple Mac с чипами от M1 до M4 - «Новости сети»
Asus представила 31,5-дюймовый 6K-монитор ProArt Display 6K PA32QCV для профессионалов за $1299 - «Новости сети»
Asus представила 31,5-дюймовый 6K-монитор ProArt Display 6K PA32QCV для профессионалов за $1299 - «Новости сети»
Новости мира Интернет » Новости » Предустановленный парольный менеджер в Windows 10 позволял похищать пароли пользователей - «Новости»

Специалист Google Project Zero и известный багхантер Тевис Орманди (Tavis Ormandy) выявил серьезную проблему в стороннем менеджере паролей Keeper, который с момента релиза Windows 10 Anniversary Update (версия 1607) входит в состав ОС. Дело в том, что с выходом данной версии Microsoft добавила в операционную систему функцию Content Delivery Manager, которая может скрыто устанавливать различные «рекомендуемые приложения».


«Я уже слышал о Keeper ранее, и помню, как некоторое время назад находил баг, связанный с тем, как они внедряют привилегированный UI на страницы, — пишет Орманди. — Я перепроверил и обнаружил, что они продолжают делать то же самое и в новой версии».





Эксперт объясняет, что обнаруженная им проблема чрезвычайно опасна, так как полностью компрометирует безопасность Keeper, позволяя любому сайту похитить любые пароли пользователя. В качестве proof-of-concept эксперт создал специальную страницу, на которой пользователи могут увидеть эксплуатацию бага на практике, если хранят в Keeper пароль от Twitter.


Разработчики Keeper Security полностью признали правоту эксперта, и менее чем за 24 часа подготовили экстренное исправление для своего продукта. Пользователям расширения для браузера настоятельно рекомендовано обновиться до безопасной версии 11.4. Также разработчики подчеркнули, что им неизвестно о каких-либо случаях эксплуатации данной бреши.


Источник новостиgoogle.com
Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Специалист Google Project Zero и известный багхантер Тевис Орманди (Tavis Ormandy) выявил серьезную проблему в стороннем менеджере паролей Keeper, который с момента релиза Windows 10 Anniversary Update (версия 1607) входит в состав ОС. Дело в том, что с выходом данной версии Microsoft добавила в операционную систему функцию Content Delivery Manager, которая может скрыто устанавливать различные «рекомендуемые приложения». «Я уже слышал о Keeper ранее, и помню, как некоторое время назад находил баг, связанный с тем, как они внедряют привилегированный UI на страницы, — пишет Орманди. — Я перепроверил и обнаружил, что они продолжают делать то же самое и в новой версии». I don't want to hear about how even a password manager with a trivial remote root that shares all your passwords with every website is better than nothing. People really tell me this. ? — Tavis Ormandy (@taviso) December 15, 2017 Эксперт объясняет, что обнаруженная им проблема чрезвычайно опасна, так как полностью компрометирует безопасность Keeper, позволяя любому сайту похитить любые пароли пользователя. В качестве proof-of-concept эксперт создал специальную страницу, на которой пользователи могут увидеть эксплуатацию бага на практике, если хранят в Keeper пароль от Twitter. Разработчики Keeper Security полностью признали правоту эксперта, и менее чем за 24 часа подготовили экстренное исправление для своего продукта. Пользователям расширения для браузера настоятельно рекомендовано обновиться до безопасной версии 11.4. Также разработчики подчеркнули, что им неизвестно о каких-либо случаях эксплуатации данной бреши. Источник новости - google.com

Смотрите также

А что там на главной? )))



Комментарии )))