Lỗ hổng quan trọng trong Keeper Password Manager

Linh Anh| 22/12/2017 16:11
Theo dõi ICTVietnam trên

Mới đây, nhà nghiên cứu Tavis Ormandy của Google Project Zero đã phát hiện ứng dụng quản lý mật khẩu Keeper Password Manager bị ảnh hưởng bởi một lỗ hổng nghiêm trọng tương tự như lỗ hổng mà ông đã phát hiện ra cách đây hơn một năm trong cùng ứng dụng này.

Tavis Ormandy phát hiện lỗ hổng bảo mật sau khi thấy Keeper được cài đặt mặc định trong Windows 10. Ông nhớ lại lỗ hổng mà mình đã báo cáo hồi năm ngoái và tái tạo lại một tấn công tương tự chỉ với vài sự thay đổi nhỏ.

Tôi đã nghe nói về Keeper, tôi nhớ đã chỉ ra một lỗi trong thời gian trước đây về cách chúng đã cấy UI (User Interface) đặc quyền vào các trang”, nhà nghiên cứu cho biết. “Tôi đã kiểm tra và chúng tôi đang làm lại điều tương tự với phiên bản này”.

Trừ khi người dùng chọn không tham gia, nếu không lỗ hổng sẽ ảnh hưởng tới các tiện ích mở rộng của Keeper mà được cài đặt cùng với ứng dụng Keeper desktop. Lỗ hổng bảo mật cho phép tin tặc đánh cắp mật khẩu lưu trong ứng dụng nếu chúng thuyết phục được người dùng xác thực truy nhập vào một trang web lừa đảo đặc biệt.

Keeper đã phát hành bản vá trong vòng 24 giờ sau khi được Tavis Ormandy thông báo. Bản sửa lỗi đã được đưa ra trong phiên bản 11.4.4 và đã được gửi tới người dùng Edge, Chrome và Firefox thông qua quá trình cập nhật mở rộng tự động của trình duyệt. Riêng người dùng Safari cần cập nhật thủ công.

Keeper cho biết: “Lỗ hổng tiềm ẩn này yêu cầu người dùng Keeper bị lừa tới trang web độc hại khi đăng nhập vào phần mở rộng của trình duyệt và sau đó giả mạo dữ liệu người dùng bằng kỹ thuật clickjacking (một kỹ thuật nhằm đánh cắp các “cú click” của người dùng) và/ hoặc kỹ thuật cấy mã độc để thực thi mã đặc quyền trong phần mở rộng của trình duyệt”.

Nổi bật Tạp chí Thông tin & Truyền thông
  • Báo chí quốc tế viết gì về Triển lãm Quốc phòng quốc tế Việt Nam 2024?
    Sự kiện Triển lãm Quốc phòng quốc tế Việt Nam năm 2024 thu hút sự chú ý trong - ngoài nước và cả nhiều cơ quan truyền thông quốc tế.
  • “AI như là một chiếc gương đen”
    Bài báo "AI is the Black Mirror" của Philip Ball cung cấp một cái nhìn chi tiết về trí tuệ nhân tạo (AI) và tác động của nó đến nhận thức con người.
  • Chất lượng thông tin báo chí về kinh tế - Vai trò, yêu cầu thước đo và giải pháp cần có
    Báo chí kinh tế cần là diễn đàn thực thụ cho doanh nghiệp, không chỉ cung cấp thông tin. Thông tin cần chính xác và kịp thời để hỗ trợ doanh nghiệp trong điều chỉnh chiến lược kinh doanh.
  • Những “ngọn đuốc” ở bản
    Ở Tuyên Quang, người có uy tín là những người đi đầu thay đổi nếp nghĩ, cách làm của bà con dân tộc thiểu số (DTTS). Họ như những “ngọn đuốc” đi trước, thắp sáng, lan tỏa tinh thần trách nhiệm, nêu gương với cộng đồng. Gương mẫu, uy tín, những người có uy tín đã và đang góp sức xây dựng bản làng, thôn xóm ngày càng ấm no, giàu mạnh.
  • 5 lý do để tăng cường bảo mật mạng
    Các chương trình an ninh mạng đã phát triển đáng kể trong vài thập kỷ qua. Sự ra đời của điện toán đám mây đã phá vỡ ranh giới an ninh mạng thông thường của của các doanh nghiệp, buộc các tổ chức phải liên tục cập nhật những chiến lược phòng thủ của mình.
Đừng bỏ lỡ
Lỗ hổng quan trọng trong Keeper Password Manager
POWERED BY ONECMS - A PRODUCT OF NEKO