Kritikal na bug sa tagabantay, ang Windows 10 password manager

Ang tagabantay ay ang pangalan ng Windows 10 password manager na libre sa bawat bagong kopya ng Windows 10. Sa kasamaang palad, isang kritikal na kapintasan ang nakilala ng Google Project Zero researcher na si Travis Ormandy sa bagong bersyon ng Tagabantay at hindi naitama ng halos walong araw.

Ang tagabantay ay libreng manager ng Windows 10

'' Gumawa ako ng isang bagong Windows 10 VM na may isang malinis na imahe mula sa MSDN at napansin kong naka-install ang default na manager ng password ng third party. Hindi nagtagal upang makahanap ng isang kritikal na kahinaan , " ang sinabi ni Ormandy.

Ang bug ng Tagabantay ay natagpuan sa isang sariwang kopya ng Windows 10 na na- download mula sa Microsoft Developer Network, habang ang hindi kasama na bersyon ng app na ito ay na-expose sa bug na ito sa loob ng higit sa isang taon.

Dahil sa kabiguang ito, ang aplikasyon Iniksyon ko ang isang pinagkakatiwalaang interface ng gumagamit sa hindi mapagkakatiwalaang mga web page sa pamamagitan ng isang script ng nilalaman, at bilang isang resulta ang mga website ay nagawang magnakaw ng mga kredensyal ng gumagamit gamit ang pag-clickjack at iba pang mga katulad na pamamaraan.

Upang masubukan ang kanilang mga natuklasan, pinakawalan din ni Ormandy ang isang proof-of- concept na pagsasamantala, na nagpakita na kapag na-save ng isang gumagamit ang kanilang Twitter password sa Keeper app, madali itong magnakaw. Nalutas ng mga nag-develop ng tagapamahala ng password na ito ang problema sa loob ng 24 na oras matapos ibinahagi ni Ormandy ang kanilang mga natuklasan. Inilabas din nila ang isang awtomatikong pag-update sa bersyon 11.3 ng app.

Inaangkin ng mga tagabuo ng Tagabantay na wala sa mga extension ng app ang apektado, ngunit totoo na ang bug ay nanatili doon nang walong araw.

Hackread Font