Penjaga Password Manager terkena Cacat kritis

Computer Security News

Peneliti nol proyek Google Tavis Ormandy telah menemukan kesalahan kritis di penjaga password manager. Kerentanan ini cukup mirip dengan salah satu pakar yang ditemukan pada aplikasi yang sama lebih dari setahun yang lalu.

Tavis Ormandy ditemukan Cacat keamanan setelah ia melihat penjaga yang sudah diinstal secara default pada Windows 10. Peneliti melaporkan kerentanan serupa sekitar setahun yang lalu dan direproduksi dengan serangan sama hanya beberapa modifikasi kecil.

“Saya mendengar penjaga, saya ingat mengajukan bug beberapa waktu lalu tentang bagaimana mereka yang menyuntikkan istimewa UI ke dalam halaman” Ormandy mengatakan. “Aku memeriksa dan, mereka melakukan hal yang sama lagi dengan versi ini.”

Cacat kritis mempengaruhi ekstensi browser penjaga, yang, kecuali jika pengguna memilih keluar, diinstal dengan aplikasi desktop penjaga. Jika hacker berhasil meyakinkan suatu otentikasi pengguna untuk mengakses situs web dibuat khusus, kerentanan membiarkan para penyerang mencuri password yang disimpan oleh aplikasi.

Dalam waktu 24 jam dari diberitahu oleh Ormandy, penjaga merilis sebuah patch keamanan. Perbaikan termasuk dalam versi 11.4.4 dan sudah telah disampaikan ke tepi, Firefox, dan Chrome pengguna melalui browser perpanjangan otomatis memperbarui proses. Safari pengguna harus update ekstensi secara manual.

“Kerentanan potensial ini memerlukan pengguna penjaga terpikat ke situs web berbahaya saat login ke ekstensi browser, dan kemudian palsu input pengguna dengan menggunakan clickjacking and/ atau kode berbahaya injeksi teknik untuk mengeksekusi kode yang istimewa dalam ekstensi browser,” Keeper yang tercantum dalam posting memberitahu pelanggan kerentanan dan patch.

Menurut perusahaan, tidak ada bukti eksploitasi telah ditemukan, menunjukkan bahwa mobile dan aplikasi desktop tidak dipengaruhi oleh kerentanan.

Mengeksploitasi (PoC) bukti-of-konsep yang mencuri sandi pengguna Twitter dari penjaga dibuat tersedia oleh Tavis Ormandy.


Leave a Reply

Your email address will not be published. Required fields are marked *