谷歌安全研究員Tavis Ormandy之前報告并披露了Windows及其功能中的幾個主要漏洞?，F(xiàn)在他發(fā)現(xiàn)了一個影響微軟用戶的新安全漏洞。這一次，他發(fā)現(xiàn)Keeper密碼管理器中存在一些缺陷，預裝在Windows 10的某些版本中，Ormandy解釋說，這類似于他在2016年8月發(fā)現(xiàn)的漏洞。

訪問:

微軟中國官方商城

Ormandy在12月14日解釋說：“我記得前一陣子提交了一個關(guān)于如何在頁面中注入特權(quán)UI的bug。”我檢查了一下，他們又用這個版本再次做同樣的事情。雖然這不是Windows或者其他微軟產(chǎn)品的安全漏洞，但是它確實暴露了Windows用戶的細節(jié)，因為攻擊者可以依靠Keeper竊取他們的密碼。

Ormandy也發(fā)布了一個盜取Twitter密碼的工作demo來演示這個漏洞，并解釋說：“這是一個完全妥協(xié)的守門員安全，允許任何網(wǎng)站竊取任何密碼。微軟表示在Ormandy的帖子后不久就知道這個問題，并解釋說應(yīng)用程序的更新正在進行中。一位公司發(fā)言人說：我們知道這個第三方應(yīng)用程序的報告，而開發(fā)者正在提供更新以保護客戶。

Keeper密碼管理器的開發(fā)公司已經(jīng)認識到這個漏洞，并且發(fā)布了對版本11.4.4的更新來解決它。該公司表示，這個漏洞只能通過將用戶引導到利用該缺陷的特制網(wǎng)站來利用，因此，在修補應(yīng)用程序之前，遠離可能對用戶電腦構(gòu)成威脅的鏈接是一種保持安全的簡單方法。

該公司解釋說：“這個潛在的漏洞要求Keeper用戶在登錄到瀏覽器擴展中時被誘騙到惡意網(wǎng)站，然后通過使用“clickjacking”技術(shù)來欺騙用戶輸入，以在瀏覽器擴展中執(zhí)行特權(quán)代碼。盡管Windows操作系統(tǒng)本身并不存在這個缺陷，但它再一次提出了微軟將軟件推向用戶的策略，這個策略可能暴露出他們的數(shù)據(jù)。目前尚不清楚誰是Keeper預先安裝的捆綁交易一部分，但好的一面是，用戶可以卸載禁用這款軟件。