Google’da bir güvenlik araştırmacısı olan Tavis Ormandy, yakın zamanda Windows 10’un Şifre Yöneticisinde gizlenen bir güvenlik açığı keşfetmişti. Bu hata, siber saldırganların şifreleri çalmalarını sağlar.

Bu kusur, tüm Windows 10 aygıtlarına önceden yüklenmiş olarak gelen üçüncü taraf Keeper şifre yöneticisi uygulamasıyla birlikte gelir. Görünüşe göre bu kusur, aynı güvenlik araştırmacısının 2016 yılında tekrar keşfettiği şeye oldukça benziyor.

Siber saldırı ile ilgili detaylar

Tavis Ormandy, ayrıcalıklı kullanıcı arayüzünün sayfalara nasıl enjekte edildiğiyle ilgili bir hata yaptığını hatırladığını belirtti. Bu sefer tekrar gerçekleştiğini iddia etti, 2016 yılında Password Manager'ın mevcut sürümüyle aynı oldu.

Tavis saldırıyı gösterdi ve gerekli tüm detayları Zero Projesi'nde paylaştı. Bu hatanın 90 günlük bir son teslim tarihine maruz kaldığı görülüyor ve bu 90 gün geçtikten sonra Tavis bu kusurun tüm ayrıntılarını ve kamuoyunda nasıl kullanılabileceğini paylaşmakta özgür olacak.

Ona göre, MSDN'den bozulmamış bir görüntüye sahip yeni bir Windows 10 VM oluşturdu ve üçüncü taraf bir şifre yöneticisinin varsayılan olarak yüklendiğini fark etti. Ondan sonra kritik güvenlik açığını buldu.

Sorun zaten işaretlendi ve bir düzeltme yapıldı

Keeper, sorunu birkaç gün önce işaretledi ve sorunu çözmek için yeni bir güncelleme yapıldı. Şirket konuyu bir blog yazısında tartıştı.

Keeper's yayını, Chrome, Edge ve Firefox'ta tarayıcı uzantısını çalıştıran tüm müşterilerin, web tarayıcısı uzantısı güncelleme işlemi sırasında Sürüm 11.4.4'ü zaten aldığını belirtir. Safari uzantısını çalıştıran kullanıcılar, şirketin indirme sayfasını ziyaret ederek sürüm 11.4.4'e manuel olarak güncelleme yapabilir. Keeper ayrıca mobil ve masaüstü uygulamaların bu sorundan etkilenmediğini ve güncelleme gerektirmediklerini söyledi.

Herhangi bir siber saldırıyı önlemek için, tüm uygulamalarınızı güncel tutmanızı öneririz. Microsoft Edge eklentisini Microsoft mağazasından indirebilirsiniz.