Google 보안 연구원 인 Tavis Ormandy는 최근 Windows 10의 비밀번호 관리자에 숨어있는 취약점을 발견했습니다. 이 버그는 사이버 공격자가 암호를 훔칠 수있게합니다.

이 결함은 모든 Windows 10 장치에 사전 설치된 타사 Keeper 암호 관리자 응용 프로그램과 함께 제공됩니다. 이 결함은 동일한 보안 연구원이 2016 년에 다시 발견 한 것과 매우 유사합니다.

사이버 공격에 관한 세부 사항

Tavis Ormandy는 특권 UI가 페이지에 삽입되는 방식에 대한 버그를 제기 한 것을 기억한다고 말했습니다. 그는 이번에는 현재 버전의 Password Manager에서 2016 년에 일어난 것과 같은 일이 다시 발생한다고 주장했습니다.

Tavis는이 공격을 시연했으며 Project Zero에서 필요한 모든 세부 정보를 공유했습니다. 이 버그는 90 일의 공개 기한이 적용되는 것 같습니다. 즉, 90 일이 지난 후에 Tavis는이 결함에 대한 완전한 세부 정보와 공개적으로 악용 될 수있는 방식을 자유롭게 공유 할 수 있습니다.

그에 따르면, 그는 MSDN의 깨끗한 이미지로 새로운 Windows 10 VM을 만들었으며 기본적으로 타사 암호 관리자가 설치되어 있음을 알았습니다. 그 후 그는 치명적인 취약점을 발견했습니다.

문제가 이미 신고되었으며 수정 프로그램이 출시되었습니다.

Keeper는 이미 며칠 전에 문제를 신고했으며 문제를 해결하기 위해 새로운 업데이트가 출시되었습니다. 회사는 블로그 게시물에서이 문제를 논의했습니다.

Keeper의 게시물에 따르면 Chrome, Edge 및 Firefox에서 브라우저 확장 프로그램을 실행중인 모든 고객은 웹 브라우저 확장 프로그램 업데이트 프로세스를 통해 버전 11.4.4를 이미 받았습니다. Safari 확장 프로그램을 실행중인 사용자는 회사의 다운로드 페이지를 방문하여 버전 11.4.4로 수동 업데이트 할 수 있습니다. Keeper는 또한 모바일 및 데스크톱 앱은이 문제의 영향을받지 않았으며 업데이트 할 필요가 없다고 말했습니다.

사이버 공격을 방지하려면 모든 앱을 최신 상태로 유지하는 것이 좋습니다. Microsoft Store에서 Microsoft Edge 용 확장을 다운로드 할 수 있습니다.