谷歌安全研究员塔维斯·奥曼迪（Tavis Ormandy）最近发现了潜伏在Windows 10密码管理器中的漏洞。 此错误使网络攻击者可以窃取密码。

此漏洞与所有Windows 10设备上预安装的第三方Keeper密码管理器应用程序一起提供。 似乎该漏洞与同一位安全研究人员在2016年发现的漏洞非常相似。

有关网络攻击的详细信息

Tavis Ormandy表示，他记得曾记过一个有关将特权UI注入页面的方式的错误。 他声称这次再次发生了与2016年最新版本的密码管理器相同的事情。

Tavis演示了这次攻击，他在“零计划”中分享了所有必要的细节。 该漏洞的披露期限似乎为90天，这意味着在这90天过去之后，Tavis可以自由分享此漏洞的完整详细信息以及可以公开利用的方式。

据他介绍，他使用来自MSDN的原始映像创建了一个新的Windows 10 VM，并且他注意到默认情况下安装了第三方密码管理器。 之后，他发现了严重漏洞。

该问题已被标记，并且已推出修复程序

几天前，Keeper已经标记了该问题，并推出了新的更新程序来解决该问题。 该公司在博客文章中讨论了这个问题。

Keeper的帖子指出，所有在Chrome，Edge和Firefox上运行浏览器扩展的客户都已通过其Web浏览器扩展更新过程获得了11.4.4版。 运行Safari扩展程序的用户可以通过访问公司的下载页面来手动更新到版本11.4.4。 Keeper还说，移动和桌面应用程序不受此问题的影响，不需要更新。

为了防止任何网络攻击，我们建议您更新所有应用程序。 您可以从Microsoft商店下载Microsoft Edge扩展。