時間:2017-12-28 來源:互聯網 瀏覽量:
如果您的PC上運行的是Windows 10,那有可能上麵包含了一個預裝的第三方密碼管理軟件,這個軟件存在漏洞,讓黑客可以遠程竊取您的所有密碼。
從Windows 10周年更新(版本1607)開始,微軟添加了一項名為Content Delivery Manager的新功能,該功能不會詢問用戶是否允許而悄悄地安裝新的“推薦的軟件”。
兩周前,穀歌安全研究人員Tavis Ormandy在剛安裝的Windows 10上發現,係統預裝了一個名叫Keeper的知名密碼管理軟件,這個剛剛全新安裝的Windows 10,是直接從微軟開發者網絡下載的。
不隻是Ormandy一個人注意到了Keeper密碼管理器,在六個月前,一些Reddit用戶就抱怨過隱藏的密碼管理器,其中一個報告說Keeper被安裝在用Windows 10 Pro創建的虛擬機上。
密碼管理器Keeper中發現高危漏洞Ormandy通過測試發現,Keeper存在一個嚴重的漏洞,讓黑客可以遠程竊取Keeper中保存的所有密碼。他去年曾經向Keeper Security報告過一個類似的漏洞,並在經過一些小小的修改之後重新發現了同樣的攻擊。
漏洞驗證為了說明漏洞的嚴重性,Ormandy提供了一個可用的漏洞驗證網址,如果用戶的Twitter密碼存儲在Keeper中,Twitter密碼可被盜用(可私信發送“keeper”自動獲取相關網址):
漏洞修複Keeper團隊在24小時內修複了這個漏洞,並表示沒有任何客戶受到這個bug的影響。
該公司表示,所有在Edge,Chrome和Firefox上運行Keeper瀏覽器擴展的客戶都已經通過各自的瀏覽器擴展更新程序獲得了版本11.4.4 。
“Even though no customers were adversely affected by this potential vulnerability, we take all reported security issues, vulnerabilities and bug reports seriously. The security and protection of customer information and data is our top priority at Keeper.”
“即使沒有客戶受到這個潛在漏洞的不利影響,我們都認真地對待所有報告的安全問題,漏洞和bug報告。保護客戶信息和數據的安全是Keeper的首要任務。”
為這種負責任的廠商點讚!