Tavis Ormandy, chercheur en sécurité chez Google, a récemment découvert une vulnérabilité qui se cache dans le gestionnaire de mots de passe de Windows 10. Ce bogue permet aux cyber-attaquants de voler des mots de passe.
Cette faille est fournie avec l'application tierce de gestion de mots de passe Keeper qui est préinstallée sur tous les appareils Windows 10. Il semble que cette faille soit assez similaire à celle que le même chercheur en sécurité a découverte en 2016.
Détails concernant la cyberattaque
Tavis Ormandy a déclaré qu'il se souvient avoir signalé un bogue sur la façon dont l'interface utilisateur privilégiée était injectée dans les pages. Il a affirmé que cette fois, il se reproduisait la même chose qui s'était produite en 2016 avec la version actuelle de Password Manager.
Tavis a fait la démonstration de l'attaque, et il a partagé tous les détails nécessaires dans Projet Zéro. Ce bug semble être soumis à un délai de divulgation de 90 jours, ce qui signifie qu'après ces 90 jours, Tavis sera libre de partager les détails complets de cette faille et la manière dont elle peut être exploitée publiquement.
Selon lui, il a créé une nouvelle machine virtuelle Windows 10 avec une image vierge de MSDN, et il a remarqué qu'un gestionnaire de mots de passe tiers est installé par défaut. Après cela, il a trouvé la vulnérabilité critique.
Le problème est déjà signalé et un correctif a été déployé
Keeper a déjà signalé le problème il y a quelques jours et une nouvelle mise à jour a été déployée pour le résoudre. La société a discuté de la question dans un article de blog.
Le message de Keeper indique que tous les clients qui exécutent l'extension de navigateur sur Chrome, Edge et Firefox ont déjà reçu la version 11.4.4 via leur processus de mise à jour de l'extension de navigateur Web. Les utilisateurs qui exécutent l'extension Safari peuvent mettre à jour manuellement vers la version 11.4.4 en visitant la page de téléchargement de l'entreprise. Keeper a également déclaré que les applications mobiles et de bureau n'étaient pas affectées par ce problème et qu'elles ne nécessitent pas de mise à jour.
Pour éviter toute cyberattaque, nous vous recommandons de garder toutes vos applications à jour. Vous pouvez télécharger l'extension pour Microsoft Edge du magasin Microsoft.
HISTOIRES CONNEXES À VÉRIFIER :
- Top 10 des outils pour récupérer votre mot de passe Windows 10 perdu
- Que faire lorsque vous perdez votre mot de passe Windows 10 ?
- Top 5 des gestionnaires de mots de passe Windows 10 à utiliser
