Abo
  • Services:

Windows 10: Kritische Lücke in vorinstalliertem Passwortmanager

Keeper-Nutzer sollten unbedingt die gepatchte Version installieren. Der aktuell in Windows 10 vorinstallierte Passwortmanager Keeper hatte einen Fehler, der es bösartigen Webseiten ermöglichte, über Clickjacking beliebige Passwörter auszulesen.

Artikel veröffentlicht am ,
Kritische Lücke im Passwortmanager Keeper ermöglichte das Auslesen von Passwörtern.
Kritische Lücke im Passwortmanager Keeper ermöglichte das Auslesen von Passwörtern. (Bild: Pixabay/tmsr/CC0 1.0)

Der Hacker Tavis Ormandy aus Googles Sicherheitsteam hat einen kritischen Fehler in Keeper gefunden. Der derzeit in Windows 10 vorinstallierte Passwortmanager Keeper hatte in seiner Browsererweiterung bis Version 11.3 eine Lücke, die es jeder besuchten Webseite ermöglichte, Passwörter aus dem eigentlich verschlüsselten Tresor zu stehlen.

Stellenmarkt
  1. Bundeskartellamt, Bonn
  2. AVU Netz GmbH, Gevelsberg

Er habe Keeper zufällig auf einer neuen Windows-10-Installation gefunden, schreibt Ormandy. 16 Monate, nachdem er einen ähnlichen Bug in einer früheren Version desselben Passwortmanagers entdeckt hatte, schaute er erneut nach und fand ein fast identisches Verhalten vor. Beide Male exponierte Keepers Browsererweiterung beim Einfügen des vertrauenswürdigen User Interfaces des Managers in die Webseite eines Drittanbieters die gespeicherten Passwörter. In einem Proof-of-Concept zeigt Ormandy das Verhalten der verwundbaren Version.

Update auf Version 11.4.4 empfohlen

Betroffen sei dabei nicht der Passwortmanager selbst, sondern die dazugehörige Browsererweiterung KeeperFill. Diese ist für das automatische Einfügen von Zugangsdaten auf Webseiten mit Login zuständig und steht für Firefox, Chrome, Internet Explorer, Edge und Safari zur Verfügung. Der Hersteller Keeper Security hat am 15. Dezember die gepatchte Version 11.4.4 von KeeperFill bereitgestellt, die bei den meisten Browsern mit der automatischen Updatefunktion für Erweiterungen eingespielt werden sollte.

Nutzer von Keeper sollten dennoch sicherheitshalber überprüfen, ob in ihrem Browser die aktuellste Version der Erweiterung installiert ist.

Nutzer berichten, dass Microsoft offenbar bereits vor einiger Zeit begonnen habe, Keeper still und leise auf neuen Windows-10-Installationen ohne Rückfrage mitzuinstallieren. Wie es passieren konnte, dass eine solch kritisch fehlerhafte Anwendung eines Drittanbieters in Windows vorinstalliert wird, wollte Microsoft auf Nachfrage von Ars Technica nicht beantworten. Auch zu den Prüfkriterien für vorinstallierte Programme wollte sich das Unternehmen nicht äußern.

Seltsame Kommunikation

Seltsam mutet zudem die Kommunikation des Herstellers an. In einer Pressemitteilung spricht Keeper Security konsistent von einer "potenziellen Schwachstelle", so als wäre die Lücke nur möglicherweise oder für vereinzelte Nutzer relevant. Stattdessen betrifft der von Ormandy (zwei Mal) gefundene Fehler konkret und real alle Nutzer der Browser-Erweiterung. Zudem bleibt unklar, wie das Unternehmen zu der mit Sicherheit geäußerten Einschätzung gelangt, dass "kein Kunde von der potenziellen Schwachstelle negativ beeinflusst" worden sei.



Anzeige
Hardware-Angebote
  1. mit Gutschein: HARDWARE50 (nur für Neukunden, Warenwert 104 - 1.000 Euro)

Stepinsky 20. Dez 2017

Vielleicht beantwortet dieser Einstieg gleich mal deine Frage weiter unten: Du steigst...

seriousssam 18. Dez 2017

mehr muss man dazu nicht sagen

Arsenal 18. Dez 2017

Bei mir wurden die unter Programme deinstallieren (keine Ahnung wie das unter Win10...


Folgen Sie uns
       


Siri auf Deutsch auf dem Homepod

Wir haben uns die deutsche Version von Siri auf dem Homepod angehört. Bei den Funktionen hinkt Siri der Konkurrenz von Alexa und Google Assistant hinterher. Und auch an der Aussprache gibt es noch einiges zu feilen. Apples erster smarter Lautsprecher kostet 350 Euro.

Siri auf Deutsch auf dem Homepod Video aufrufen
Windenergie: Wie umweltfreundlich sind Offshore-Windparks?
Windenergie
Wie umweltfreundlich sind Offshore-Windparks?

Windturbinen auf hoher See liefern verlässlich grünen Strom. Frei von Umwelteinflüssen sind sie aber nicht. Während die eine Tierart profitiert, leidet die andere. Doch Abhilfe ist in Sicht.
Ein Bericht von Daniel Hautmann

  1. Hywind Scotland Windkraft Ahoi

Raumfahrt: Großbritannien will wieder in den Weltraum
Raumfahrt
Großbritannien will wieder in den Weltraum

Die Briten wollen eigene Raketen bauen und von Großbritannien aus starten. Ein Teil des Geldes dafür kommt auch von Investoren und staatlichen Investitionsfonds aus Deutschland.
Von Frank Wunderlich-Pfeiffer

  1. Esa Sonnensystemforschung ohne Plutonium
  2. Jaxa Japanische Sonde Hayabusa 2 erreicht den Asteroiden Ryugu
  3. Mission Horizons @Astro_Alex fliegt wieder

Indiegames-Rundschau: Schiffbruch, Anime und viel Brummbrumm
Indiegames-Rundschau
Schiffbruch, Anime und viel Brummbrumm

Gas geben, den weißen Hai besiegen und endlich die eine verlorene Socke wiederfinden: Die sommerlichen Indiegames bieten für jeden etwas - besonders fürs Spielen zu zweit.
Von Rainer Sigl

  1. Indiegames-Rundschau Schwerelose Action statt höllischer Qualen
  2. Indiegames-Rundschau Kampfkrieger und Abenteuer in 1001 Nacht
  3. Indiegames-Rundschau Mutige Mäuse und tapfere Trabbis

    •  /