Si Tavis Ormandy, isang tagasaliksik ng seguridad sa Google, ay kamakailan lamang natuklasan ang isang kahinaan na nakikipag-usap sa Tagapamahala ng Password ng Windows 10. Pinapayagan ng bug na ito ang mga cyber attackers na magnakaw ng mga password.

Ang kamalian na ito ay kasama ng third-party na tagapamahala ng password ng Tagabantay ng password na paunang naka-install sa lahat ng mga aparato ng Windows 10. Tila ang kapintasan na ito ay halos kapareho sa isa na natagpuan ng parehong tagasaliksik ng seguridad noong 2016.

Mga detalye tungkol sa pag-atake sa cyber

Sinabi ni Tavis Ormandy na naaalala niya ang pag-file ng isang bug tungkol sa paraan na ang pribadong UI ay na-injected sa mga pahina. Inamin niya na sa oras na ito ito ay nangyari ulit sa parehong bagay na nangyari noong 2016 kasama ang kasalukuyang bersyon ng Password Manager.

Ipinakita ni Tavis ang pag-atake, at ibinahagi niya ang lahat ng mga kinakailangang detalye sa Project Zero. Ang bug na ito ay tila napapailalim sa isang 90-araw na deadline ng pagsisiwalat, at nangangahulugan ito na matapos ang 90 araw na ito, malaya na ibahagi ni Tavis ang kumpletong mga detalye ng kamalian na ito at ang paraan kung saan maaari itong mapagsamantala sa publiko.

Ayon sa kanya, lumikha siya ng isang bagong Windows 10 VM na may isang imahe ng malinaw mula sa MSDN, at napansin niya na ang isang third-party na tagapamahala ng password ay mai-install nang default. Pagkatapos nito, natagpuan niya ang kritikal na kahinaan.

Ang isyu ay na-flag, at isang pag-aayos ay na-out

Na-flag na ng tagabantay ang problema sa ilang araw, at isang bagong pag-update ay pinagsama upang ayusin ito. Tinalakay ng kumpanya ang isyu sa isang post sa blog.

Sinasabi ng post ng tagabantay na ang lahat ng mga customer na tumatakbo sa browser extension sa Chrome, Edge, at Firefox ay nakatanggap na ng Bersyon 11.4.4 sa pamamagitan ng kanilang proseso ng pag-update ng extension ng web browser. Ang mga gumagamit na nagpapatakbo ng extension ng Safari ay maaaring manu-manong i-update sa bersyon 11.4.4 sa pamamagitan ng pagbisita sa pahina ng pag-download ng kumpanya. Sinabi rin ng Tagabantay na ang mga mobile at desktop apps ay hindi apektado ng problemang ito at hindi nila hinihiling na mai-update.

Upang maiwasan ang anumang pag-atake sa cyber, inirerekumenda namin na panatilihing na-update ang lahat ng iyong mga app. Maaari mong i-download ang extension para sa Microsoft Edge mula sa tindahan ng Microsoft.