By | December 18, 2017

החוקר גוגל פרוייקט אפס Tavis אורמנדי מצאה פגם קריטי השומר מנהל סיסמאות. פגיעות זו דומה למדי אחד המומחה גילה ביישום אותו לפני שנה.

אורמנדי Tavis למצוא הפגם אבטחה לאחר שראה את השומר כבר מותקן כברירת מחדל ב- Windows 10. החוקר דיווח על פגיעות דומה לפני כשנה, לשכפל ההתקפה עם רק כמה שינויים קלים.

“שמעתי על שומר, אני זוכרת הגשת באג לפני זמן מה על איך שהם היו הזרקת UI מיוחס לעמודים” אורמנדי אמר. “בדקתי, הם עושים את אותו הדבר שוב לגירסה זו.”

הפגם קריטי משפיעה על הרחבות דפדפן של השומר, אשר, אלא אם המשתמשים בוחרים, מותקנים יחד עם יישומי שולחן עבודה שומר. אם האקרים יצליחו לשכנע משתמש מאומת לגישה באתר אינטרנט בעל מבנה מיוחד, הפגיעות תן התוקפים לגנוב ממך סיסמאות שאוחסנו על-ידי היישום.

תוך 24 שעות מקבלת ההודעה על ידי אורמנדי, השומר פרסמה תיקון אבטחה. התיקון נכלל בגירסה 11.4.4 ו כבר נמסרה לקצה, פיירפוקס, כרום משתמשים באמצעות הארכה אוטומטית הדפדפנים לעדכן תהליך. ספארי המשתמשים יהיה עליך לעדכן באופן ידני את הסיומת.

“פגיעות פוטנציאלית זו, המשתמש שומר להתפתות לאתר זדוני כאשר אתה מחובר הסיומת הדפדפן ולאחר מכן מטעה קלט משתמש באמצעות clickjacking and/ או טכניקת ההזרקה קוד זדוני לבצע קוד מיוחס בתוך סיומת לדפדפן,” השומר הצהיר בפוסט יידוע הלקוחות של הפגיעות ושל התיקון.

לדברי החברה, נמצאה שום הוכחה של ניצול, כשהוא מצביע על כך הנייד, יישומי שולחן העבודה היו לא מושפעים מהפגיעות.

ניצול הוכחה הרעיון (PoC) אשר גונב הסיסמה של משתמש טוויטר של השומר היה זמין על-ידי אורמנדי Tavis.

Leave a Reply

Your email address will not be published. Required fields are marked *