Menedżer haseł aplikacji Keeper dotkniętych Krytyczna luka

Computer Security News

Naukowców Google Project Zero Tavis Ormandy znalazł Krytyczna luka w Menedżer haseł aplikacji Keeper. Luka w zabezpieczeniach jest bardzo podobny do jeden ekspert odkrył w tej samej aplikacji, ponad rok temu.

Tavis Ormandy znalazł lukę bezpieczeństwa po dostrzegł że Keeper jest już zainstalowana domyślnie w systemie Windows 10. Naukowiec poinformował podobna usterka o rok temu i powielać tego samego ataku z tylko kilka drobnych modyfikacji.

“Słyszałem o Keeper, pamiętam, zgłoszenia błędów jakiś czas temu o tym, jak zostały one wstrzykiwanie uprzywilejowanych interfejsu użytkownika do stron” Ormandy powiedział. “Sprawdziłem, i robią to samo jeszcze raz z tej wersji.”

Krytyczna luka dotyczy rozszerzenia przeglądarki Keeper, które, o ile użytkownicy zrezygnować, są instalowane wraz z aplikacji Keeper. Jeśli hakerzy uda się przekonać uwierzytelnionemu użytkownikowi dostęp do specjalnie przygotowanej witryny sieci Web, luka w zabezpieczeniach niech napastników wykraść hasła przechowywane przez aplikację.

W ciągu 24 godzin od otrzymania powiadomienia przez Ormandy opiekun wydała poprawkę zabezpieczeń. Poprawka została uwzględniona w wersji 11.4.4 i już zostały dostarczone do krawędzi, Firefox, Chrome użytkowników za pośrednictwem przeglądarek Automatyczne przedłużenie procesu aktualizacji. Użytkownicy Safari będzie trzeba ręcznie zaktualizować rozszerzenie.

“To potencjalna Luka wymaga użytkownika aplikacji Keeper dać się skusić do złośliwej witryny, będąc jednocześnie zalogowani w rozszerzenie przeglądarki, a następnie podróbki danych wejściowych użytkownika przy użyciu clickjacking and/ lub techniki wstrzykiwania szkodliwego kodu do wykonywania uprzywilejowanego kodu w ramach Rozszerzenie przeglądarki,” opiekun stwierdzono w poście informowanie klientów o lukę i patcha.

Zgodnie z ten zakład stwierdzono śladów eksploatacji, wskazując, że telefon komórkowy i pulpitu aplikacji nie zostały dotknięte przez lukę w zabezpieczeniach.

Wykorzystać (PoC) proof-of-concept, który kradnie hasła użytkownika Twitter z Keeper została udostępniona przez Tavis Ormandy.


Leave a Reply

Your email address will not be published. Required fields are marked *