[情報] Windows 10內建密碼管理軟體Keeper有漏洞

Windows 10內建密碼管理軟體Keeper有漏洞，使用者密碼安全恐不保! 2017-12-18發表 隸屬Google Project Zero抓蟲大隊的Tavis Ormandy上周四（12/14）揭露，最新版的 Windows 10內建了一個含有安全漏洞的Keeper擴充程式，將允許惡意網站竊取使用者的密 碼，而Keeper則於上周五（12/15）緊急更新了該漏洞。 Ormandy表示，他發現Keeper含有一安全漏洞，只要於網頁上注入特權介面（Privileged UI），任何網站都能盜取使用者的密碼，類似他去年發現的Keeper漏洞。Ormandy還設立 了一展示網頁，可汲取使用者所輸入的Twitter密碼。 Keeper為一密碼管理軟體，為Windows 10中所內建的瀏覽器擴充程式，當使用者開啟 Keeper時，便會曝露在上述的漏洞風險中。 Keeper表示，要開採該漏洞必須在使用者登入Keeper時，誘導使用者造訪一個惡意網站， 目前並未傳出任何災情，該公司已藉由移除程式中的「Add to Existing」功能來解決該 問題，也採取其他措施以避免類似的漏洞再出現。 上周五Keeper已釋出11.4.4版來修補臭蟲，其中，位於Microsoft Edge、Chrome及 Firefox中的Keeper擴充程式會進行自動更新，而Safari用戶則必須手動升級Keeper。 https://www.ithome.com.tw/news/119627 這東西在我安裝win 10後就馬上右鍵解除安裝了 還好我都用Lastpass -- 作者 ttmb (耶? ) 看板 Gossiping 標題 [新聞] 台積電市值超越Intel 謝金河：成全球最大 時間 Tue Mar 21 13:47:22 2017 ─────────────────────────────────────── --
※ 批踢踢實業坊(ptt.cc), 來自: 122.116.4.227
※ 文章網址: https://www.ptt.cc/bbs/PC_Shopping/M.1513585135.A.A49.html

推 a000000000: 還不是代工03/21 13:48

推 Shauter : 登能才會用MS內建的善意......... 12/18 16:22

推 supermars : KEEPERS是另外安裝的軟體還是WIN10會要你安裝的軟? 12/18 17:00

推 felaray : 沒聽過.. 12/18 17:05

推 qwe04687 : project zero好像很萌 12/18 17:23

→ qwe04687 : 猛 12/18 17:23

推 phoenixcx : 只推keepass... 12/18 17:24

推 ww578912tw : 真的是鱔液 12/18 17:32

推 tcancer : Win10每次重灌或大更新後就要刪一堆不請自來的東西 12/18 17:38

推 chaahk2012 : 還好我都用腦管理密碼 12/18 19:25

推 sppmg : keepassx 12/18 19:53

→ LUCHS : Keeper又不是微軟的，MS表示躺槍 12/18 20:01

推 Romus : (問號)等等 我的W10 PRO沒有KEEPER預載啊? 12/18 21:36

→ widec : keepass+1 12/18 21:40

→ Shauter : Lastpass我記得前幾年不是也有出包嗎 XD 12/18 22:04

推 felaray : Google大神說你有 就一定有！ 12/18 22:04

→ VOCALOID2609: 內建的瀏覽器擴充?? 明明要手動安裝啊 12/19 01:33

推 kaoh08 : 很不幸的 Lastpass 也曾遭駭過 12/19 10:28

推 felaray : 內建瀏覽器=Eage,這明明在說該外掛的包 結果也能扯w 12/19 16:46

→ felaray : in10? 12/19 16:46

→ matchacoke : 有這個東西？ 12/19 17:03