Устанавливаемый в Windows 10 менеджер паролей Keeper критически уязвим

Олег Иванов 18 Декабря 2017 - 08:30

Домашние пользователи

...

Новая версия менеджера паролей Keeper, поставляемого бесплатно с новыми копиями Windows 10, содержит критическую ошибку. Тэвис Орманди (Tavis Ormandy), исследователь Google Project Zero, обнаруживший эту брешь, утверждает, что она не была исправлена в течение восьми дней.

«Я создал новую виртуальную машину с образом Windows 10 и обратил внимание на то, что в системе по умолчанию установлен сторонний менеджер паролей. Я потратил немного времени на то, чтобы найти критическую уязвимость в нем», — пишет Орманди.

Уточним, что ошибка была обнаружена в версии Keeper, установленной в новой копии Windows 10, загруженной из Microsoft Developer Network напрямую. А версия, поставляемая отдельно, содержит этот баг уже более года.

Эта уязвимость позволила эксперту внедрить доверенный пользовательский интерфейс в ненадежные веб-страницы через скрипт контента, как следствие, владельцы таких сайтов могут получить данные пользователей, используя кликджекинг (clickjacking) и аналогичные методы. В настоящее время подробности уязвимости не обнародованы, поскольку у вендора есть 90 дней для ее исправления.

«Я считаю, что поступаю великодушно, классифицируя эту уязвимость заслуживающей 90 дней на исправление. Хотя, по существу, эта брешь может привести к полной компрометации, она может позволить любому веб-сайту украсть любой пароль», — добавляет Орманди.

Чтобы обосновать свои выводы, эксперт опубликовал эксплойт, доказывающий концепт атаки, где демонстрируется, как сохраненный в приложении Keeper пароль от Twitter легко компрометируется.

Утверждается, что разработчики Keeper решили проблему в течение 24 часов после того, как Орманди поделился своими выводами. Они выпустили обновление версии Keeper 11.3.

Однако также фактом является то, что ошибка присутствовала в версии для Windows 10 в течение восьми дней, но здесь эксперт больше винит Microsoft, так как партнерство компании со сторонними производителями софта иногда приносит проблемы.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 11 Августа 2025 - 18:49

Linux Эксплойты Уязвимости программ Домашние пользователи Корпорации

BadCam: веб-камеры Lenovo на Linux превратили в инструмент взлома

Исследователи из компании Eclypsium показали, как обычные веб-камеры на базе Linux можно превратить в инструмент для постоянной компрометации компьютера. В эксперименте они взломали две модели камер от Lenovo — 510 FHD и Performance FHD Web.

Обе работают на чипах и прошивке китайской компании SigmaStar. Оказалось, что такие камеры можно использовать для атаки по типу BadUSB — когда безобидное устройство с изменённой прошивкой начинает выполнять вредоносные команды при подключении к компьютеру.

В классическом BadUSB злоумышленнику нужен физический доступ к устройству, но в новой модификации, получившей название BadCam, это не обязательно.

Если атакующий получает удалённый доступ к компьютеру, он может перепрошить подключённую камеру прямо из системы. После этого камера сможет повторно заражать хост, даже если тот полностью переустановлен.

Причина уязвимости в камерах Lenovo — отсутствие проверки подписи прошивки. В софте для обновления есть команды, позволяющие без труда залить вредоносный код с уже скомпрометированного устройства.

В качестве примера Eclypsium упомянула уязвимость ядра Linux CVE-2024-53104, которую уже использовали в атаках: через неё можно получить контроль над системой и затем прошить подключённую камеру вредоносом.

Lenovo присвоила багу код CVE-2025-4371 и выпустила патч в прошивке версии 4.8.0. Однако, предупреждают исследователи, уязвимыми могут быть и другие веб-камеры или USB-устройства на базе Linux.

Свою работу Eclypsium представила на хакерской конференции DEF CON, а также опубликовала подробный разбор в блоге.