Microsoft liefert Update gegen löchrigen Passwort-Manager

Tavis Ormandy, ein Security-Forscher von Google, hat Microsoft über eine Lücke in der Browser-Erweiterung des Microsoft-Passwort-Managers Keeper informiert. Der Passwort-Manager ist bei der neusten Version von Windows 10 vorinstalliert. Die Lücke würde es Angreifern ermöglichen, Passwörter aus dem Manager auszulesen. In der Standardeinstellung werde die Erweiterung automatisch mitinstalliert.
 
Die Lücke, die Ormandy schon vor längerer Zeit in einer älteren Version der Keeper-App entdeckt habe, "erlaube es jeder Website, jedes Passwort zu stehlen", schreibt der Analyst in einem Blogeintrag. Laut einer Mitteilung von Keeper-CTO Craig Lurey müsse der Anwender auf eine bösartige Website geleitet werden, während er in der Browser-Extension eingeloggt ist.
 
Der Security-Forscher habe das Unternehmen schon von 16 Monaten auf die Lücke, damals in der Version 11 von Keeper, hingewiesen. Bei einer Neuinstallation von Windows 10 sei ihm aufgefallen, dass es den Bug noch immer gibt und zwar im Browser-Add-On von Keeper. Ein Sprecher von Keeper hält gegenüber 'Ars Technica' aber fest, dass es sich hierbei um einen anderen Bug handelt.
 
Nun wurde aber ein Update für Keeper zu Verfügung gestellt. Ausserdem hat das Unternehmen die Funktion "Add zu Existing" entfernt, um das Problem zu beheben. Nutzer der Browser Edge, Chrome und Firefox hätten automatisch die Version 11.4.4 erhalten. Die neue Safari-Version könne manuell über die Keeper-Website heruntergeladen werden.
 
Laut Keeper gebe es keine Berichte, dass die Lücke ausgenutzt wurde. Weder die mobile noch die Desktop Apps des Passwort-Managers seien von der Lücke betroffen gewesen. (kjo)