Abo
  • IT-Karriere:

Windows 10: Kritische Lücke in vorinstalliertem Passwortmanager

Keeper-Nutzer sollten unbedingt die gepatchte Version installieren. Der aktuell in Windows 10 vorinstallierte Passwortmanager Keeper hatte einen Fehler, der es bösartigen Webseiten ermöglichte, über Clickjacking beliebige Passwörter auszulesen.

Artikel veröffentlicht am ,
Kritische Lücke im Passwortmanager Keeper ermöglichte das Auslesen von Passwörtern.
Kritische Lücke im Passwortmanager Keeper ermöglichte das Auslesen von Passwörtern. (Bild: Pixabay/tmsr/CC0 1.0)

Der Hacker Tavis Ormandy aus Googles Sicherheitsteam hat einen kritischen Fehler in Keeper gefunden. Der derzeit in Windows 10 vorinstallierte Passwortmanager Keeper hatte in seiner Browsererweiterung bis Version 11.3 eine Lücke, die es jeder besuchten Webseite ermöglichte, Passwörter aus dem eigentlich verschlüsselten Tresor zu stehlen.

Stellenmarkt
  1. Allianz Deutschland AG, Stuttgart
  2. über experteer GmbH, deutschlandweit

Er habe Keeper zufällig auf einer neuen Windows-10-Installation gefunden, schreibt Ormandy. 16 Monate, nachdem er einen ähnlichen Bug in einer früheren Version desselben Passwortmanagers entdeckt hatte, schaute er erneut nach und fand ein fast identisches Verhalten vor. Beide Male exponierte Keepers Browsererweiterung beim Einfügen des vertrauenswürdigen User Interfaces des Managers in die Webseite eines Drittanbieters die gespeicherten Passwörter. In einem Proof-of-Concept zeigt Ormandy das Verhalten der verwundbaren Version.

Update auf Version 11.4.4 empfohlen

Betroffen sei dabei nicht der Passwortmanager selbst, sondern die dazugehörige Browsererweiterung KeeperFill. Diese ist für das automatische Einfügen von Zugangsdaten auf Webseiten mit Login zuständig und steht für Firefox, Chrome, Internet Explorer, Edge und Safari zur Verfügung. Der Hersteller Keeper Security hat am 15. Dezember die gepatchte Version 11.4.4 von KeeperFill bereitgestellt, die bei den meisten Browsern mit der automatischen Updatefunktion für Erweiterungen eingespielt werden sollte.

Nutzer von Keeper sollten dennoch sicherheitshalber überprüfen, ob in ihrem Browser die aktuellste Version der Erweiterung installiert ist.

Nutzer berichten, dass Microsoft offenbar bereits vor einiger Zeit begonnen habe, Keeper still und leise auf neuen Windows-10-Installationen ohne Rückfrage mitzuinstallieren. Wie es passieren konnte, dass eine solch kritisch fehlerhafte Anwendung eines Drittanbieters in Windows vorinstalliert wird, wollte Microsoft auf Nachfrage von Ars Technica nicht beantworten. Auch zu den Prüfkriterien für vorinstallierte Programme wollte sich das Unternehmen nicht äußern.

Seltsame Kommunikation

Seltsam mutet zudem die Kommunikation des Herstellers an. In einer Pressemitteilung spricht Keeper Security konsistent von einer "potenziellen Schwachstelle", so als wäre die Lücke nur möglicherweise oder für vereinzelte Nutzer relevant. Stattdessen betrifft der von Ormandy (zwei Mal) gefundene Fehler konkret und real alle Nutzer der Browser-Erweiterung. Zudem bleibt unklar, wie das Unternehmen zu der mit Sicherheit geäußerten Einschätzung gelangt, dass "kein Kunde von der potenziellen Schwachstelle negativ beeinflusst" worden sei.



Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. (reduzierte Überstände, Restposten & Co.)

Stepinsky 20. Dez 2017

Vielleicht beantwortet dieser Einstieg gleich mal deine Frage weiter unten: Du steigst...

seriousssam 18. Dez 2017

mehr muss man dazu nicht sagen

Arsenal 18. Dez 2017

Bei mir wurden die unter Programme deinstallieren (keine Ahnung wie das unter Win10...


Folgen Sie uns
       


Asus Zephyrus G GA502 - Test

Sparsamer Sprinter mit dunklem Display: das Zephyrus G GA502 im Test.

Asus Zephyrus G GA502 - Test Video aufrufen
Ryzen 7 3800X im Test: Der schluckt zu viel
Ryzen 7 3800X im Test
"Der schluckt zu viel"

Minimal mehr Takt, vor allem aber ein höheres Power-Budget für gestiegene Frequenzen unter Last: Das war unsere Vorstellung vor dem Test des Ryzen 7 3800X. Doch die Achtkern-CPU überrascht negativ, weil AMD es beim günstigeren 3700X bereits ziemlich gut meinte.
Ein Test von Marc Sauter

  1. Agesa 1003abba Microcode-Update taktet Ryzen 3000 um 50 MHz höher
  2. Agesa 1003abb Viele ältere Platinen erhalten aktuelles UEFI für Ryzen 3000
  3. Ryzen 5 3400G und Ryzen 3 3200G im Test Picasso passt

Sonos Move im Test: Der vielseitigste Lautsprecher von Sonos
Sonos Move im Test
Der vielseitigste Lautsprecher von Sonos

Der Move von Sonos überzeugt durch Bluetooth und ist dank Akku und stabilem Gehäuse vorzüglich für den Außeneinsatz geeignet. Bei den Funktionen ist der Lautsprecher leider nicht so smart wie er sein könnte.
Ein Test von Ingo Pakalski

  1. Update für Multiroom-Lautsprecher Sonos-App spielt keine lokalen Inhalte mehr vom iPhone ab
  2. Smarter Lautsprecher Erster Sonos-Lautsprecher mit Akku und Bluetooth
  3. Soundbars Audiohersteller Teufel investiert in eigene Ladenkette

Serielle Hybride: Unterschätzte Zwischenlösung oder längst überholt?
Serielle Hybride
Unterschätzte Zwischenlösung oder längst überholt?

Die reine E-Mobilität kommt nicht so schnell voran, wie es Klimaziele und Luftreinhaltepläne erfordern. Doch viele Fahrzeughersteller stellen derweil eine vergleichsweise simple Technologie auf die Räder, die für eine Zukunft ohne fossile Kraftstoffe Erkenntnisse liefern kann.
Von Mattias Schlenker

  1. ADAC Keyless-Go bietet Autofahrern keine Sicherheit
  2. Gesetzentwurf beschlossen Regierung verlängert Steuervorteile für Elektroautos
  3. Cabrio Renault R4 Plein Air als Elektro-Retroauto

    •  /