Устанавливаемый в Windows 10 менеджер паролей Keeper критически уязвим

Устанавливаемый в Windows 10 менеджер паролей Keeper критически уязвим

Устанавливаемый в Windows 10 менеджер паролей Keeper критически уязвим

Новая версия менеджера паролей Keeper, поставляемого бесплатно с новыми копиями Windows 10, содержит критическую ошибку. Тэвис Орманди (Tavis Ormandy), исследователь Google Project Zero, обнаруживший эту брешь, утверждает, что она не была исправлена в течение восьми дней.

«Я создал новую виртуальную машину с образом Windows 10 и обратил внимание на то, что в системе по умолчанию установлен сторонний менеджер паролей. Я потратил немного времени на то, чтобы найти критическую уязвимость в нем», — пишет Орманди.

Уточним, что ошибка была обнаружена в версии Keeper, установленной в новой копии Windows 10, загруженной из Microsoft Developer Network напрямую. А версия, поставляемая отдельно, содержит этот баг уже более года.

Эта уязвимость позволила эксперту внедрить доверенный пользовательский интерфейс в ненадежные веб-страницы через скрипт контента, как следствие, владельцы таких сайтов могут получить данные пользователей, используя кликджекинг (clickjacking) и аналогичные методы. В настоящее время подробности уязвимости не обнародованы, поскольку у вендора есть 90 дней для ее исправления.

«Я считаю, что поступаю великодушно, классифицируя эту уязвимость заслуживающей 90 дней на исправление. Хотя, по существу, эта брешь может привести к полной компрометации, она может позволить любому веб-сайту украсть любой пароль», — добавляет Орманди.

Чтобы обосновать свои выводы, эксперт опубликовал эксплойт, доказывающий концепт атаки, где демонстрируется, как сохраненный в приложении Keeper пароль от Twitter легко компрометируется.

Утверждается, что разработчики Keeper решили проблему в течение 24 часов после того, как Орманди поделился своими выводами. Они выпустили обновление версии Keeper 11.3.

Однако также фактом является то, что ошибка присутствовала в версии для Windows 10 в течение восьми дней, но здесь эксперт больше винит Microsoft, так как партнерство компании со сторонними производителями софта иногда приносит проблемы.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Nova Specail Edition получила сертификат ФСТЭК России и 4 уровень доверия

Российский оркестратор контейнеров Nova Container Platform от компании Orion soft получил сертификат соответствия ФСТЭК России № 4943. Сертифицированная версия под названием Nova Container Platform Special Edition теперь обладает всей функциональностью базовой редакции, но при этом соответствует требованиям четвёртого уровня доверия.

Редакция предназначена для использования в системах, где требуется повышенный уровень информационной безопасности:

  • в автоматизированных системах управления технологическими процессами (АСУ ТП) до 1 класса защищённости;
  • в государственных информационных системах (ГИС) до 1 класса защищённости;
  • при работе с персональными данными до 1 уровня защищённости;
  • на значимых объектах критической информационной инфраструктуры (КИИ) до 1 категории значимости.

Речь идёт, в частности, о таких сферах, как нефтегаз, оборонная промышленность, металлургия, атомная энергетика, финансы и медицина.

Среди функций сертифицированной версии — сканирование контейнерных образов на наличие уязвимостей, контроль целостности, управление доступом, идентификация и аутентификация пользователей, сбор и регистрация событий безопасности, а также централизованное управление контейнерами.

Nova Container Platform поддерживает работу в изолированных средах, развёртывание на российских операционных системах и входит в реестр отечественного ПО. Платформа также интегрирована с другими продуктами Orion soft, включая систему виртуализации zVirt.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru