Keeper Password Manager påverkas av kritiska fel

Computer Security News

Google Project Zero forskaren Tavis Ormandy har hittat en kritisk brist i Keeper lösenordshanterare. Sårbarheten är ganska likt en expert upptäckt i samma program över ett år sedan.

Tavis Ormandy hittade säkerhetsbrist när han såg att Keeper är redan installerat som standard i Windows 10. Forskaren rapporterade ett liknande säkerhetsproblem ungefär ett år sedan och reproduceras samma attacken med bara några smärre ändringar.

”Jag har hört av djurhållare, jag minns arkivering en bugg ett tag sedan om hur de injicera privilegierade UI i sidor” Ormandy sade. ”Jag kollade och de gör samma sak igen med denna version”.

Den kritiska fel påverkar Keeper webbläsartilläggen, som, om inte användarna välja ut, installeras tillsammans med Keeper skrivbordsapplikationen. Om hackare lyckas övertyga en autentiserad användare att få tillgång till en särskilt utformad webbplats, låt sårbarhet angriparna stjäla lösenord lagras av programmet.

Inom 24 timmar efter att ha underrättats av Ormandy, släppt Keeper en säkerhetskorrigering. Fix ingick i version 11.4.4 och det har redan levererats till Edge, Firefox, och Chrome-användare via webbläsare automatisk förlängning uppdateringsprocessen. De Safari-användarna kommer att behöva uppdatera tillägget manuellt.

”Denna potentiella sårbarhet kräver en Keeper användaren lockas till en skadlig webbplats medan inloggad webbläsartillägget och sedan förfalskningar indata från användaren med ett clickjacking and/ eller skadlig kod injektionsteknik för att utföra privilegierade kod inom den webbläsartillägg ”, Keeper som sagt i ett inlägg att informera kunder om sårbarhet och plåstret.

Alt efter sällskapet, inga bevis av exploatering har hittats, påpeka att mobilen och skrivbordsprogram påverkades inte av säkerhetsproblemet.

En proof-of-concept (PoC) utnyttja som stjäl ett Twitter lösenord från Keeper förfogande av Tavis Ormandy.


Leave a Reply

Your email address will not be published. Required fields are marked *