• IT-Karriere:
  • Services:

Windows 10: Kritische Lücke in vorinstalliertem Passwortmanager

Keeper-Nutzer sollten unbedingt die gepatchte Version installieren. Der aktuell in Windows 10 vorinstallierte Passwortmanager Keeper hatte einen Fehler, der es bösartigen Webseiten ermöglichte, über Clickjacking beliebige Passwörter auszulesen.

Artikel veröffentlicht am ,
Kritische Lücke im Passwortmanager Keeper ermöglichte das Auslesen von Passwörtern.
Kritische Lücke im Passwortmanager Keeper ermöglichte das Auslesen von Passwörtern. (Bild: Pixabay/tmsr/CC0 1.0)

Der Hacker Tavis Ormandy aus Googles Sicherheitsteam hat einen kritischen Fehler in Keeper gefunden. Der derzeit in Windows 10 vorinstallierte Passwortmanager Keeper hatte in seiner Browsererweiterung bis Version 11.3 eine Lücke, die es jeder besuchten Webseite ermöglichte, Passwörter aus dem eigentlich verschlüsselten Tresor zu stehlen.

Stellenmarkt
  1. Beckhoff Automation GmbH & Co. KG, Verl
  2. noris network AG, München, Aschheim (bei München), Nürnberg, Berlin

Er habe Keeper zufällig auf einer neuen Windows-10-Installation gefunden, schreibt Ormandy. 16 Monate, nachdem er einen ähnlichen Bug in einer früheren Version desselben Passwortmanagers entdeckt hatte, schaute er erneut nach und fand ein fast identisches Verhalten vor. Beide Male exponierte Keepers Browsererweiterung beim Einfügen des vertrauenswürdigen User Interfaces des Managers in die Webseite eines Drittanbieters die gespeicherten Passwörter. In einem Proof-of-Concept zeigt Ormandy das Verhalten der verwundbaren Version.

Update auf Version 11.4.4 empfohlen

Betroffen sei dabei nicht der Passwortmanager selbst, sondern die dazugehörige Browsererweiterung KeeperFill. Diese ist für das automatische Einfügen von Zugangsdaten auf Webseiten mit Login zuständig und steht für Firefox, Chrome, Internet Explorer, Edge und Safari zur Verfügung. Der Hersteller Keeper Security hat am 15. Dezember die gepatchte Version 11.4.4 von KeeperFill bereitgestellt, die bei den meisten Browsern mit der automatischen Updatefunktion für Erweiterungen eingespielt werden sollte.

Nutzer von Keeper sollten dennoch sicherheitshalber überprüfen, ob in ihrem Browser die aktuellste Version der Erweiterung installiert ist.

Nutzer berichten, dass Microsoft offenbar bereits vor einiger Zeit begonnen habe, Keeper still und leise auf neuen Windows-10-Installationen ohne Rückfrage mitzuinstallieren. Wie es passieren konnte, dass eine solch kritisch fehlerhafte Anwendung eines Drittanbieters in Windows vorinstalliert wird, wollte Microsoft auf Nachfrage von Ars Technica nicht beantworten. Auch zu den Prüfkriterien für vorinstallierte Programme wollte sich das Unternehmen nicht äußern.

Seltsame Kommunikation

Seltsam mutet zudem die Kommunikation des Herstellers an. In einer Pressemitteilung spricht Keeper Security konsistent von einer "potenziellen Schwachstelle", so als wäre die Lücke nur möglicherweise oder für vereinzelte Nutzer relevant. Stattdessen betrifft der von Ormandy (zwei Mal) gefundene Fehler konkret und real alle Nutzer der Browser-Erweiterung. Zudem bleibt unklar, wie das Unternehmen zu der mit Sicherheit geäußerten Einschätzung gelangt, dass "kein Kunde von der potenziellen Schwachstelle negativ beeinflusst" worden sei.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. 146,99€
  2. täglich neue Deals bei Alternate.de

Stepinsky 20. Dez 2017

Vielleicht beantwortet dieser Einstieg gleich mal deine Frage weiter unten: Du steigst...

seriousssam 18. Dez 2017

mehr muss man dazu nicht sagen

Arsenal 18. Dez 2017

Bei mir wurden die unter Programme deinstallieren (keine Ahnung wie das unter Win10...


Folgen Sie uns
       


Ghost of Tsushima - Fazit

Mit Ghost of Tsushima macht Sony der Playstation 4 ein besonderes Abschiedsgeschenk. Statt auf massenkompatible Bombastgrafik setzt es auf eine stellenweise fast schon surreal-traumhafte Aufmachung, bei der wir an Indiegames denken. Dazu kommen viele Elemente eines Assassin's Creed in Japan - und wir finden sogar eine Prise Gothic.

Ghost of Tsushima - Fazit Video aufrufen
    •  /