Ο Tavis Ormandy, ερευνητής της ασφάλειας στο Google, ανακάλυψε πρόσφατα μια ευπάθεια που παραμονεύει στον Διαχειριστή κωδικών των Windows 10. Αυτό το σφάλμα επιτρέπει στους επιτιθέμενους του κυβερνοχώρου να κλέβουν τους κωδικούς πρόσβασης.

Αυτό το ελάττωμα συνοδεύεται από την εφαρμογή διαχειριστή κωδικών πρόσβασης τρίτου μέρους, η οποία έρχεται προεγκατεστημένη σε όλες τις συσκευές Windows 10. Φαίνεται ότι αυτό το ελάττωμα είναι αρκετά παρόμοιο με εκείνο που ανακάλυψε ο ίδιος ερευνητής ασφάλειας το 2016.

Λεπτομέρειες σχετικά με την επιθέσεις στον κυβερνοχώρο

Ο Tavis Ormandy δήλωσε ότι θυμάται την κατάθεση ενός σφάλματος σχετικά με τον τρόπο με τον οποίο εισήχθη στις σελίδες αυτό το προνομιακό UI. Ισχυρίστηκε ότι αυτή τη φορά συμβαίνει ξανά το ίδιο πράγμα που συνέβη το 2016 με την τρέχουσα έκδοση του Password Manager.

Ο Τάβις απέδειξε την επίθεση και μοιράστηκε όλες τις απαραίτητες λεπτομέρειες στο Project Zero. Αυτό το σφάλμα φαίνεται να υπόκειται σε προθεσμία κοινοποίησης 90 ημερών και αυτό σημαίνει ότι μετά από αυτές τις 90 ημέρες θα περάσει, ο Tavis θα είναι ελεύθερος να μοιραστεί όλες τις λεπτομέρειες αυτού του ελαττώματος και τον τρόπο με τον οποίο μπορεί να αξιοποιηθεί δημοσίως.

Σύμφωνα με τον ίδιο, δημιούργησε ένα νέο Windows 10 VM με μια παρθένα εικόνα από το MSDN και παρατήρησε ότι εγκαθίσταται από προεπιλογή ένας διαχειριστής κωδικών πρόσβασης τρίτου κατασκευαστή. Μετά από αυτό, βρήκε την κρίσιμη ευπάθεια.

Το θέμα έχει ήδη επισημανθεί και έχει εγκατασταθεί μια ενημέρωση κώδικα

Ο κάτοχος έχει ήδη επισημάνει το πρόβλημα πριν από λίγες ημέρες και έχει κυκλοφορήσει μια νέα ενημερωμένη έκδοση για την επίλυσή του. Η εταιρεία συζήτησε το θέμα σε μια θέση blog.

Η δημοσίευση του Keeper δηλώνει ότι όλοι οι πελάτες που εκτελούν την επέκταση του προγράμματος περιήγησης στο Chrome, Edge και Firefox έλαβαν ήδη την έκδοση 11.4.4 μέσω της διαδικασίας ενημέρωσης επέκτασης του προγράμματος περιήγησης ιστού. Οι χρήστες που εκτελούν την επέκταση Safari μπορούν να ενημερώσουν με μη αυτόματο τρόπο την έκδοση 11.4.4, μεταβαίνοντας στη σελίδα λήψης της εταιρείας. Ο Keeper είπε επίσης ότι οι εφαρμογές για κινητά και επιτραπέζιους υπολογιστές δεν επηρεάστηκαν από αυτό το πρόβλημα και δεν απαιτούν ενημέρωση.

Για να αποτρέψετε τυχόν επιθέσεις στον κυβερνοχώρο, σας συνιστούμε να ενημερώνετε όλες τις εφαρμογές σας. Μπορείτε να κάνετε λήψη της επέκτασης για το Microsoft Edge από το κατάστημα της Microsoft.