Tavis Ormandy นักวิจัยด้านความปลอดภัยของ Google เพิ่งค้นพบช่องโหว่ที่แฝงตัวอยู่ในตัวจัดการรหัสผ่านของ Windows 10 ข้อผิดพลาดนี้ช่วยให้ผู้โจมตีทางไซเบอร์สามารถขโมยรหัสผ่านได้

ข้อบกพร่องนี้มาพร้อมกับแอปพลิเคชันตัวจัดการรหัสผ่าน Keeper บุคคลที่สามที่ติดตั้งมาพร้อมกับอุปกรณ์ Windows 10 ทั้งหมด ดูเหมือนว่าข้อบกพร่องนี้ค่อนข้างคล้ายกับที่นักวิจัยด้านความปลอดภัยคนเดียวกันค้นพบเมื่อปี 2559

รายละเอียดเกี่ยวกับการโจมตีทางไซเบอร์

Tavis Ormandy กล่าวว่าเขาจำข้อผิดพลาดเกี่ยวกับวิธีการที่ UI สิทธิพิเศษถูกฉีดเข้าไปในหน้าต่างๆ เขาอ้างว่าคราวนี้มันเกิดขึ้นอีกครั้งเหมือนกับสิ่งที่เกิดขึ้นในปี 2559 ด้วยโปรแกรมจัดการรหัสผ่านรุ่นปัจจุบัน

Tavis แสดงให้เห็นถึงการโจมตีและเขาแบ่งปันรายละเอียดที่จำเป็นทั้งหมดใน Project Zero ข้อผิดพลาดนี้ดูเหมือนว่าจะเป็นไปตามกำหนดเวลาการเปิดเผยข้อมูล 90 วันซึ่งหมายความว่าหลังจาก 90 วันผ่านไป Tavis จะมีอิสระในการแบ่งปันรายละเอียดที่สมบูรณ์ของข้อบกพร่องนี้และวิธีการที่จะถูกนำไปใช้ในที่สาธารณะ

เขาสร้าง Windows 10 VM ใหม่พร้อมอิมเมจเริ่มต้นจาก MSDN และเขาสังเกตเห็นว่าตัวจัดการรหัสผ่านบุคคลที่สามมาติดตั้งโดยค่าเริ่มต้น หลังจากนั้นเขาพบช่องโหว่ที่สำคัญ

ปัญหานี้ได้รับการตั้งค่าสถานะแล้วและการแก้ไขถูกยกเลิก

ผู้ดูแลรายงานปัญหาแล้วไม่กี่วันที่ผ่านมาและมีการอัปเดตใหม่เพื่อแก้ไข บริษัท พูดถึงปัญหานี้ในบล็อกโพสต์

โพสต์ของ Keeper ระบุว่าลูกค้าทุกคนที่ใช้งานส่วนขยายเบราว์เซอร์บน Chrome, Edge และ Firefox ได้รับเวอร์ชัน 11.4.4 ผ่านกระบวนการอัปเดตส่วนขยายเว็บเบราว์เซอร์แล้ว ผู้ใช้ที่ใช้งานส่วนขยาย Safari สามารถอัปเดตเป็นรุ่น 11.4.4 ด้วยตนเองโดยไปที่หน้าดาวน์โหลดของ บริษัท ผู้ดูแลยังกล่าวอีกว่าแอปมือถือและเดสก์ท็อปไม่ได้รับผลกระทบจากปัญหานี้และพวกเขาไม่ต้องการการอัปเดต

เพื่อป้องกันการโจมตีทางไซเบอร์เราขอแนะนำให้คุณอัปเดตแอปทั้งหมดของคุณ คุณสามารถดาวน์โหลดส่วนขยายสำหรับ Microsoft Edge ได้จากร้านค้าของ Microsoft