Googleのセキュリティ研究者であるTavis Ormandyは、Windows 10のPassword Managerに潜む脆弱性を最近発見しました。 このバグにより、サイバー攻撃者はパスワードを盗むことができます。

この欠陥には、すべてのWindows 10デバイスにプリインストールされているサードパーティ製Keeperパスワードマネージャーアプリケーションが付属しています。 この欠陥は、同じセキュリティ研究者が2016年に発見したものと非常に似ているようです。

サイバー攻撃に関する詳細

Tavis Ormandyは、特権UIがページに挿入された方法に関するバグを提出したことを覚えていると述べました。 彼は、今回は2016年にPassword Managerの現在のバージョンで起こったのと同じことが再び起こると主張しました。

Tavisは攻撃を実証し、Project Zeroで必要な詳細をすべて共有しました。 このバグは90日間の開示期限にさらされているようです。つまり、この90日が経過すると、Tavisはこの欠陥の完全な詳細と公開された悪用方法を自由に共有できるようになります。

彼によると、彼はMSDNの元のイメージで新しいWindows 10 VMを作成し、デフォルトでサードパーティのパスワードマネージャーがインストールされていることに気付きました。 その後、彼は重大な脆弱性を発見しました。

この問題には既にフラグが付けられており、修正がロールアウトされました

Keeperはすでに数日前に問題にフラグを立てており、それを修正するために新しいアップデートが展開されました。 同社はこの問題についてブログ投稿で議論しました。

Keeperの投稿によると、Chrome、Edge、Firefoxでブラウザー拡張機能を実行しているすべてのお客様は、Webブラウザー拡張機能の更新プロセスを通じてバージョン11.4.4を既に受け取っています。 Safari拡張機能を実行しているユーザーは、会社のダウンロードページにアクセスして、手動でバージョン11.4.4に更新できます。 Keeperは、モバイルアプリとデスクトップアプリはこの問題の影響を受けておらず、更新する必要がないとも述べています。

サイバー攻撃を防ぐために、すべてのアプリを最新の状態に保つことをお勧めします。 Microsoft StoreからMicrosoft Edgeの拡張機能をダウンロードできます。