Microsoft liefert Update gegen löchrigen Passwort-Manager

20. Dezember 2017, 11:10
  • security
  • windows 10
  • lücke
image

Tavis Ormandy, ein Security-Forscher von Google, hat Microsoft über eine Lücke in der Browser-Erweiterung des Microsoft-Passwort-Managers Keeper informiert.

Tavis Ormandy, ein Security-Forscher von Google, hat Microsoft über eine Lücke in der Browser-Erweiterung des Microsoft-Passwort-Managers Keeper informiert. Der Passwort-Manager ist bei der neusten Version von Windows 10 vorinstalliert. Die Lücke würde es Angreifern ermöglichen, Passwörter aus dem Manager auszulesen. In der Standardeinstellung werde die Erweiterung automatisch mitinstalliert.
Die Lücke, die Ormandy schon vor längerer Zeit in einer älteren Version der Keeper-App entdeckt habe, "erlaube es jeder Website, jedes Passwort zu stehlen", schreibt der Analyst in einem Blogeintrag. Laut einer Mitteilung von Keeper-CTO Craig Lurey müsse der Anwender auf eine bösartige Website geleitet werden, während er in der Browser-Extension eingeloggt ist.
Der Security-Forscher habe das Unternehmen schon von 16 Monaten auf die Lücke, damals in der Version 11 von Keeper, hingewiesen. Bei einer Neuinstallation von Windows 10 sei ihm aufgefallen, dass es den Bug noch immer gibt und zwar im Browser-Add-On von Keeper. Ein Sprecher von Keeper hält gegenüber 'Ars Technica' aber fest, dass es sich hierbei um einen anderen Bug handelt.
Nun wurde aber ein Update für Keeper zu Verfügung gestellt. Ausserdem hat das Unternehmen die Funktion "Add zu Existing" entfernt, um das Problem zu beheben. Nutzer der Browser Edge, Chrome und Firefox hätten automatisch die Version 11.4.4 erhalten. Die neue Safari-Version könne manuell über die Keeper-Website heruntergeladen werden.
Laut Keeper gebe es keine Berichte, dass die Lücke ausgenutzt wurde. Weder die mobile noch die Desktop Apps des Passwort-Managers seien von der Lücke betroffen gewesen. (kjo)

Loading

Mehr zum Thema

image

Ransomware-Banden kaufen Erstzugänge extern ein

Für nur gerade 10 Dollar können sich Cyberkriminelle auf Darkweb-Flohmärkten Zugänge zu Systemen kaufen. Damit können sie dann Schlimmes anrichten.

publiziert am 29.9.2022
image

Geotech: Huaweis "eiserne Armee" in der Defensive

Huawei-CEO Ren Zhengfei spricht von einem Überlebenskampf, während der internationale Druck zunimmt. Wir haben bei Huawei Schweiz nach Transparenzbemühungen und Geschäftsgang gefragt.

publiziert am 27.9.2022 2
image

Zurich Film Festival – Ticketverkauf dank flexibler Standortvernetzung.

Heute ist das Zurich Film Festival (ZFF) das grösste Herbstfilm-Festival im deutschsprachigen Raum und ein Sprungbrett zu den Oscars. 2005 fand es zum ersten Mal statt.

image

TAP Portugal bestätigt den Klau von Passagierdaten

Nach dem Cyberangriff sind 600 Gigabyte an Daten der Airline veröffentlicht worden – auch von Schweizer Passagieren. Kunden werden vor möglichen Phishing-Angriffen gewarnt.

publiziert am 23.9.2022