Windows 10 כלל מנהל סיסמאות עם פוטנציאל עצום לגניבתן

מנהל סיסמאות שהותקן כברירת מחדל עם גרסה מעודכנת של Windows 10 התברר כמכיל פגיעות שמאפשרת – בעת התחברות לאתר תוקפני מתאים – לגנוב סיסמאות של המשתמש שמופנה לאתר.

הפגיעות התגלתה בכלי בשם Keeper שהוכלל בחלק מהגרסאות של Windows 10 שניתנות להורדה מאתר ה-MSDN של החברה, והוא הותקן כברירת מחדל כתוסף לדפדפן האינטרנט.

את הפגיעות גילה חוקר האבטחה טאוויס אורמנדי מצוות האבטחה של גוגל (Google), והיא זהה לפגיעות שהוא כבר איתר והתריע לגביה לפני כשנה, ובמוצר של אותה חברה ממש.

פגיעות שקשה ליישם אותה

"אני מעריך שמדובר באיזו שהיא עסקה עם מיקרוסופט (Microsoft). שמעתי על Keeper, וזכרתי ששלחתי לפני זמן רב הודעה על הבאג שגורם להזרקת זכויות ממשק משתמש לדפי אינטרנט – כך שניתן לגנוב סיסמאות. בדקתי והם עושים זאת שוב, גם בגרסה הזו", כתב אורמנדי.

התגובה של המפתחים הייתה מהירה הפעם, והחברה שחררה טלאי אבטחה שמתקן את הבעיה פחות מ-24 שעות לאחר הדיווח. לדבריה בכל מקרה מדובר בפגיעות שקשה ליישם אותה.

"כדי שזה יקרה צריך לפתות משתמש של Keeper לאתר מרושע בזמן שהוא מחובר להרחבה בדפדפן, ואז לזייף קלט משתמש בכדי שניתן יהיה לבצע קוד מורשה בהרחבה עצמה", מסרה החברה.

בכל מקרה, לא הופיעו דיווחים על משתמשים שניזוקו בגין פגיעות זאת.