Tavis Ormandy, seorang peneliti keamanan di Google, baru-baru ini menemukan kerentanan yang bersembunyi di Password Manager Windows 10. Bug ini memungkinkan penyerang dunia maya untuk mencuri kata sandi.

Kelemahan ini datang dengan aplikasi pengelola kata sandi Keeper pihak ketiga yang sudah diinstal sebelumnya pada semua perangkat Windows 10. Tampaknya cacat ini sangat mirip dengan yang ditemukan peneliti keamanan yang sama pada tahun 2016.

Detail mengenai serangan dunia maya

Tavis Ormandy menyatakan bahwa ia ingat pernah melaporkan bug tentang cara UI yang diistimewakan disuntikkan ke halaman. Dia mengklaim bahwa kali ini terjadi lagi hal yang sama yang terjadi pada tahun 2016 dengan versi Password Manager saat ini.

Tavis mendemonstrasikan serangan itu, dan dia membagikan semua detail yang diperlukan di Project Zero. Bug ini tampaknya dikenai tenggat waktu pengungkapan 90 hari, dan ini berarti bahwa setelah 90 hari berlalu, Tavis akan bebas untuk membagikan rincian lengkap dari cacat ini dan cara di mana ia dapat dieksploitasi secara publik.

Menurutnya, ia menciptakan Windows 10 VM baru dengan gambar asli dari MSDN, dan ia memperhatikan bahwa pengelola kata sandi pihak ketiga diinstal secara default. Setelah itu, ia menemukan kerentanan kritis.

Masalah sudah ditandai, dan perbaikan telah diluncurkan

Keeper telah menandai masalah beberapa hari yang lalu, dan pembaruan baru diluncurkan untuk memperbaikinya. Perusahaan membahas masalah ini dalam posting blog.

Pos Keeper menyatakan bahwa semua pelanggan yang menjalankan ekstensi browser di Chrome, Edge, dan Firefox sudah menerima Versi 11.4.4 melalui proses pembaruan ekstensi browser web mereka. Pengguna yang menjalankan ekstensi Safari dapat secara manual memperbarui ke versi 11.4.4 dengan mengunjungi halaman unduhan perusahaan. Keeper juga mengatakan bahwa aplikasi seluler dan desktop tidak terpengaruh oleh masalah ini dan mereka tidak memerlukan pembaruan.

Untuk mencegah serangan siber, kami sarankan Anda terus memperbarui semua aplikasi Anda. Anda dapat mengunduh ekstensi untuk Microsoft Edge dari toko Microsoft.