Tavis Ormandy, sigurnosni istraživač na Googleu, nedavno je otkrio ranjivost koja vreba u programu Windows 10 Password Manager. Ova greška omogućava cyber napadačima da kradu lozinke.

Do ovog nedostatka dolazi s trećom aplikacijom Keeper password manager koja je unaprijed instalirana na svim Windows 10 uređajima. Čini se da je ta mana prilično slična onoj koju je isti istraživač sigurnosti otkrio još 2016. godine.

Pojedinosti o cyber napadu

Tavis Ormandy izjavio je da se sjeća kako je podnosio pogrešku o načinu na koji je privilegirano korisničko sučelje ubrizgavalo u stranice. Ustvrdio je da se ovaj put ponovno događa isto, što se dogodilo 2016. godine s trenutnom verzijom Upravitelja lozinki.

Tavis je demonstrirao napad, a sve potrebne detalje podijelio je u Project Zero-u. Čini se da je ovaj bug podvrgnut 90-dnevnog roka za otkrivanje, a to znači da će nakon ovih 90 dana Tavis biti slobodan dijeliti potpune detalje ove manjkavosti i način na koji se može javno iskoristiti.

Prema njegovim riječima, stvorio je novi Windows 10 VM s netaknutom slikom iz MSDN-a, a primijetio je da je treći proizvođač upravitelja lozinki instaliran prema zadanim postavkama. Nakon toga pronašao je kritičnu ranjivost.

Tema je već označena, a ispravak je uveden

Čuvar je problem već označio prije nekoliko dana i uvedeno je novo ažuriranje da ga riješi. Tvrtka je o tome raspravljala u postu na blogu.

Keeper's post navodi da su svi kupci koji pokreću proširenje preglednika na Chromeu, Edgeu i Firefoxu već dobili Verziju 11.4.4 kroz postupak ažuriranja proširenja web-preglednika. Korisnici koji pokreću Safari ekstenziju mogu se ručno ažurirati na verziju 11.4.4 posjetom tvrtkovu stranicu za preuzimanje. Keeper je također rekao da ovaj problem nije pogođen mobilnim i stolnim aplikacijama i da ih nije potrebno ažurirati.

Da biste spriječili cyber napade, preporučujemo da ažurirate sve svoje aplikacije. Dodatak za Microsoft Edge možete preuzeti iz Microsoftove trgovine.