Microsoft установила менеджер паролей, который содержит опасную ошибку с некоторыми версиями Windows 10, согласно исследователю безопасности Google. Тавис Орманди заметил, что его копия Windows 10 включала Keeper, который ранее обнаружил, что он вводит привилегированный пользовательский интерфейс на страницы.

Версия, которую Microsoft включала в Windows 10, показала ту же ошибку. Что это значит? Короче говоря, он позволяет любому веб-сайту украсть у вас пароли.

Keeperбыл включен в некоторые установки Windows 10 в качестве плагина для браузера, и он включал ту же самую уязвимость, о которой Орманди сообщил почти год-полтора раньше. Он обнаружил, что с помощью паролей, хранящихся в Keeper, можно было похитить несколько паролей.

Узнав о проблеме, разработчики Keeper выпустили патч в течение 24 часов, сказав:

Эта потенциальная уязвимость требует, чтобы пользователь Keeper был заманиван на вредоносный веб-сайт во время входа в расширение браузера, а затем подделывает пользовательский ввод, используя метод «clickjacking» для выполнения привилегированного кода в расширении браузера.