Windows 10內建密碼管理軟體Keeper有漏洞,使用者密碼安全恐不保!
2017-12-18發表
隸屬Google Project Zero抓蟲大隊的Tavis Ormandy上周四(12/14)揭露,最新版的
Windows 10內建了一個含有安全漏洞的Keeper擴充程式,將允許惡意網站竊取使用者的密
碼,而Keeper則於上周五(12/15)緊急更新了該漏洞。
Ormandy表示,他發現Keeper含有一安全漏洞,只要於網頁上注入特權介面(Privileged
UI),任何網站都能盜取使用者的密碼,類似他去年發現的Keeper漏洞。Ormandy還設立
了一展示網頁,可汲取使用者所輸入的Twitter密碼。
Keeper為一密碼管理軟體,為Windows 10中所內建的瀏覽器擴充程式,當使用者開啟
Keeper時,便會曝露在上述的漏洞風險中。
Keeper表示,要開採該漏洞必須在使用者登入Keeper時,誘導使用者造訪一個惡意網站,
目前並未傳出任何災情,該公司已藉由移除程式中的「Add to Existing」功能來解決該
問題,也採取其他措施以避免類似的漏洞再出現。
上周五Keeper已釋出11.4.4版來修補臭蟲,其中,位於Microsoft Edge、Chrome及
Firefox中的Keeper擴充程式會進行自動更新,而Safari用戶則必須手動升級Keeper。
https://www.ithome.com.tw/news/119627
這東西在我安裝win 10後就馬上右鍵解除安裝了
還好我都用Lastpass