Bogue critique dans Keeper, le gestionnaire de mots de passe Windows 10

Keeper est le nom du gestionnaire de mots de passe Windows 10 qui est fourni gratuitement avec chaque nouvelle copie de Windows 10. Malheureusement, une faille critique a été identifiée par le chercheur de Google Project Zero Travis Ormandy dans la nouvelle version de Keeper et n'a pas été corrigée par presque huit jours.

Keeper est le gestionnaire de mots de passe gratuit de Windows 10

'' J'ai créé une nouvelle machine virtuelle Windows 10 avec une image vierge de MSDN et j'ai remarqué qu'un gestionnaire de mots de passe tiers est installé par défaut. Il n'a pas fallu longtemps pour trouver une vulnérabilité critique », a déclaré Ormandy.

Le bogue Keeper a été trouvé dans une nouvelle copie de Windows 10 téléchargée à partir du Microsoft Developer Network, tandis que la version non incluse de cette application est déjà exposée à ce bogue depuis plus d'un an.

En raison de cet échec, l'application J'injectais une interface utilisateur de confiance dans des pages Web peu fiables via un script de contenu, et en conséquence, les sites Web ont pu voler les informations d'identification de l'utilisateur à l'aide du détournement de clics et d'autres techniques similaires.

Pour tester leurs résultats, Ormandy a également publié un exploit de preuve de concept, qui a montré que lorsqu'un utilisateur enregistrait son mot de passe Twitter dans l'application Keeper, il était facile de voler. Les développeurs de ce gestionnaire de mots de passe ont résolu le problème dans les 24 heures après que Ormandy a partagé leurs conclusions. Ils ont également publié une mise à jour automatique de la version 11.3 de l'application.

Les développeurs de Keeper affirment qu'aucune des extensions de l'application n'a été affectée, mais il est vrai que le bogue y est resté pendant huit jours.

Hackread Font