Tavis Ormandy นักวิจัยด้านความปลอดภัยของ Google เพิ่งค้นพบช่องโหว่ที่ซ่อนอยู่ใน Password Manager ของ Windows 10 ข้อผิดพลาดนี้ทำให้ผู้โจมตีทางไซเบอร์สามารถ ขโมยรหัสผ่าน.
ข้อบกพร่องนี้มาพร้อมกับแอปพลิเคชันตัวจัดการรหัสผ่าน Keeper ของบริษัทอื่นที่ติดตั้งมาพร้อมกับอุปกรณ์ Windows 10 ทั้งหมด ดูเหมือนว่าข้อบกพร่องนี้จะค่อนข้างคล้ายกับข้อบกพร่องที่นักวิจัยด้านความปลอดภัยคนเดียวกันค้นพบเมื่อปี 2559
รายละเอียดเกี่ยวกับการโจมตีทางไซเบอร์
Tavis Ormandy กล่าวว่าเขาจำได้ว่าเคยแจ้งข้อบกพร่องเกี่ยวกับวิธีการแทรก UI ที่มีสิทธิพิเศษในหน้าต่างๆ เขาอ้างว่าครั้งนี้มันเกิดขึ้นอีกครั้งในสิ่งเดียวกับที่เกิดขึ้นเมื่อปี 2559 กับตัวจัดการรหัสผ่านเวอร์ชันปัจจุบัน
Tavis สาธิตการโจมตีและเขาแบ่งปันรายละเอียดที่จำเป็นทั้งหมดใน โครงการศูนย์. ข้อบกพร่องนี้ดูเหมือนว่าจะอยู่ภายใต้กำหนดเวลาการเปิดเผยข้อมูล 90 วัน ซึ่งหมายความว่าหลังจาก 90 วันเหล่านี้ผ่านไป Tavis จะมีอิสระที่จะแบ่งปันรายละเอียดทั้งหมดของข้อบกพร่องนี้และลักษณะที่สามารถใช้ประโยชน์ได้ ต่อสาธารณะ
ตามที่เขาพูด เขาได้สร้าง Windows 10 VM ใหม่ด้วยอิมเมจดั้งเดิมจาก MSDN และเขาสังเกตเห็นว่ามีการติดตั้งตัวจัดการรหัสผ่านของบุคคลที่สามโดยค่าเริ่มต้น หลังจากนั้นเขาพบจุดอ่อนที่สำคัญ
ปัญหาได้รับการติดธงแล้ว และได้เริ่มดำเนินการแก้ไขแล้ว
Keeper แจ้งปัญหาแล้วเมื่อไม่กี่วันก่อน และมีการอัปเดตใหม่เพื่อแก้ไขปัญหา บริษัทได้กล่าวถึงปัญหาดังกล่าวในโพสต์บล็อก
โพสต์ของ Keeper ระบุว่าลูกค้าทั้งหมดที่ใช้ส่วนขยายเบราว์เซอร์บน Chrome, Edge และ Firefox ได้รับเวอร์ชัน 11.4.4 ผ่านกระบวนการอัปเดตส่วนขยายของเว็บเบราว์เซอร์แล้ว ผู้ใช้ที่ใช้ส่วนขยาย Safari สามารถอัปเดตเป็นเวอร์ชัน 11.4.4 ได้ด้วยตนเองโดยไปที่หน้าดาวน์โหลดของบริษัท Keeper ยังกล่าวอีกว่าแอพมือถือและเดสก์ท็อปไม่ได้รับผลกระทบจากปัญหานี้และไม่จำเป็นต้องอัปเดต
เพื่อป้องกันการโจมตีทางไซเบอร์ เราขอแนะนำให้คุณอัปเดตแอปทั้งหมดของคุณ คุณสามารถ ดาวน์โหลดส่วนขยายสำหรับ Microsoft Edge จากร้านไมโครซอฟต์
เรื่องราวที่เกี่ยวข้องเพื่อตรวจสอบ:
- เครื่องมือ 10 อันดับแรกในการกู้คืนรหัสผ่าน Windows 10 ที่หายไป
- จะทำอย่างไรเมื่อคุณทำรหัสผ่าน Windows 10 หาย?
- ผู้จัดการรหัสผ่าน Windows 10 5 อันดับแรกที่จะใช้
