Pengurus kata laluan penjaga yang dipengaruhi oleh kecacatan kritikal

Computer Security News

Penyelidik sifar projek Google Tavis Ormandy telah mendapati kecacatan yang kritikal dalam Pengurus kata laluan penjaga. Kelemahan adalah agak serupa dengan seorang pakar yang ditemui pada aplikasi yang sama lebih setahun yang lalu.

Tavis Ormandy didapati kecacatan Keselamatan selepas dia dikesan penjaga yang telah dipasang secara lalai dalam Windows 10. Penyelidik melaporkan kelemahan yang sama kira-kira setahun yang lalu dan diterbitkan semula serangan itu sama dengan hanya sedikit pengubahsuaian yang kecil.

“Saya telah mendengar daripada penjaga gol, saya masih ingat memfailkan bug suatu ketika dulu tentang bagaimana mereka telah menyuntik UI istimewa ke muka surat” Ormandy berkata. “Aku menyemak dan mereka lakukan perkara yang sama lagi dengan versi ini.”

Kecacatan kritikal menjejaskan pelanjutan penyemak imbas penjaga, yang, melainkan jika pengguna memilih untuk keluar, akan dipasang bersama-sama dengan aplikasi desktop penjaga. Jika penggodam berjaya meyakinkan pengguna disahkan untuk mengakses laman web khas Seni Kraf, kelemahan beritahu penyerang yang mencuri kata laluan disimpan oleh aplikasi tersebut.

Dalam tempoh 24 jam yang dimaklumkan oleh Ormandy, penjaga dikeluarkan tampalan Keselamatan. Tetap telah dimasukkan ke dalam versi 11.4.4 dan ia sudah telah dihantar ke tepi, Firefox, dan pengguna Chrome melalui para pelayar secara automatik sambungan proses kemas kini. Safari pengguna perlu mengemas kini sambungan secara manual.

“Kelemahan potensi ini memerlukan pengguna penjaga boleh ditarik ke laman web berbahaya semasa log masuk ke dalam sambungan pelayar, dan kemudian fakes input pengguna dengan menggunakan teknik suntikan kod berniat jahat atau clickjacking and/ yang melaksanakan kod istimewa dalam lingkungan yang sambungan pelayar,” penjaga yang dinyatakan dalam posting memaklumkan pelanggan tentang kelemahan dan patch.

Menurut Syarikat, tiada bukti eksploitasi telah dijumpai, menunjukkan bahawa telefon bimbit dan aplikasi desktop tidak terjejas oleh kelemahan.

Bukti-of-konsep (PoC) pengeksploitasian yang mencuri pengguna Twitter kata laluan daripada penjaga adalah disediakan oleh Tavis Ormandy.


Leave a Reply

Your email address will not be published. Required fields are marked *