Менеджер паролей в Windows 10 имеет серьезную уязвимость

18 Декабрь 2017

С момента первого официального релиза Windows 10 Anniversary Update в этой версии операционной системы предустановлен сторонний менеджер паролей под названием Keeper. Как и любым другим аналогичным продуктом, пользоваться им очень удобно, но в отличие от своих аналогов этот менеджер оказался серьезно уязвимым, поэтому он может поставить по угрозу сохранность паролей пользователей.

Проблему в менеджере удалось выявить специалисту компании Google и известному охотнику за багами Тевису Орманди. Он определили, что уязвимость менеджера паролей связана с функцией Content Delivery Manager. Она уже давно используется в Windows 10 и используется для того, чтобы операционная система могла самостоятельно устанавливать разные приложения, которые «считает» нужными и полезными.

Тевис рассказал, что ранее ему уже удавалось обнаруживать баг в процессе внедрения привилегированного UI на страницах. Конечно же, тогда он сообщил о своей находке компании, но как удалось выяснить сейчас, баг не был исправлен и он до сих пор присутствует в Windows 10.

Орманди рассказал, что данная уязвимость представляет очень серьезную опасность, так как из-за нее Keeper может быть полностью скомпрометирован. При эксплуатации описанной Тевисом уязвимости злоумышленники могут похитить все пароли, которые хранятся в менеджере.

После обнаружения уязвимости Орманди сразу же сообщил создателям Keeper об этой серьезной проблеме. После детального изучения предоставленной информации они признали наличие уязвимости и уже подготовили экстренное обновление. Несмотря на то, что еще не было зафиксировано ни одного случая ее эксплуатации злоумышленниками, пользователям все же рекомендуется установить обновление, которое доступно под номером 11.4