示意圖,與新聞事件無關。

隸屬Google Project Zero抓蟲大隊的Tavis Ormandy上周四(12/14)揭露,最新版的Windows 10內建了一個含有安全漏洞的Keeper擴充程式,將允許惡意網站竊取使用者的密碼,而Keeper則於上周五(12/15)緊急更新了該漏洞

Ormandy表示,他發現Keeper含有一安全漏洞,只要於網頁上注入特權介面(Privileged UI),任何網站都能盜取使用者的密碼,類似他去年發現的Keeper漏洞。Ormandy還設立了一展示網頁,可汲取使用者所輸入的Twitter密碼。

Keeper為一密碼管理軟體,為Windows 10中所內建的瀏覽器擴充程式,當使用者開啟Keeper時,便會曝露在上述的漏洞風險中。

Keeper表示,要開採該漏洞必須在使用者登入Keeper時,誘導使用者造訪一個惡意網站,目前並未傳出任何災情,該公司已藉由移除程式中的「Add to Existing」功能來解決該問題,也採取其他措施以避免類似的漏洞再出現。

上周五Keeper已釋出11.4.4版來修補臭蟲,其中,位於Microsoft Edge、Chrome及Firefox中的Keeper擴充程式會進行自動更新,而Safari用戶則必須手動升級Keeper。


Advertisement

更多 iThome相關內容