Abo
  • Services:

Windows 10: Kritische Lücke in vorinstalliertem Passwortmanager

Keeper-Nutzer sollten unbedingt die gepatchte Version installieren. Der aktuell in Windows 10 vorinstallierte Passwortmanager Keeper hatte einen Fehler, der es bösartigen Webseiten ermöglichte, über Clickjacking beliebige Passwörter auszulesen.

Artikel veröffentlicht am ,
Kritische Lücke im Passwortmanager Keeper ermöglichte das Auslesen von Passwörtern.
Kritische Lücke im Passwortmanager Keeper ermöglichte das Auslesen von Passwörtern. (Bild: Pixabay/tmsr/CC0 1.0)

Der Hacker Tavis Ormandy aus Googles Sicherheitsteam hat einen kritischen Fehler in Keeper gefunden. Der derzeit in Windows 10 vorinstallierte Passwortmanager Keeper hatte in seiner Browsererweiterung bis Version 11.3 eine Lücke, die es jeder besuchten Webseite ermöglichte, Passwörter aus dem eigentlich verschlüsselten Tresor zu stehlen.

Stellenmarkt
  1. Bosch Gruppe, Leonberg
  2. Stadtwerke Bonn GmbH, Bonn

Er habe Keeper zufällig auf einer neuen Windows-10-Installation gefunden, schreibt Ormandy. 16 Monate, nachdem er einen ähnlichen Bug in einer früheren Version desselben Passwortmanagers entdeckt hatte, schaute er erneut nach und fand ein fast identisches Verhalten vor. Beide Male exponierte Keepers Browsererweiterung beim Einfügen des vertrauenswürdigen User Interfaces des Managers in die Webseite eines Drittanbieters die gespeicherten Passwörter. In einem Proof-of-Concept zeigt Ormandy das Verhalten der verwundbaren Version.

Update auf Version 11.4.4 empfohlen

Betroffen sei dabei nicht der Passwortmanager selbst, sondern die dazugehörige Browsererweiterung KeeperFill. Diese ist für das automatische Einfügen von Zugangsdaten auf Webseiten mit Login zuständig und steht für Firefox, Chrome, Internet Explorer, Edge und Safari zur Verfügung. Der Hersteller Keeper Security hat am 15. Dezember die gepatchte Version 11.4.4 von KeeperFill bereitgestellt, die bei den meisten Browsern mit der automatischen Updatefunktion für Erweiterungen eingespielt werden sollte.

Nutzer von Keeper sollten dennoch sicherheitshalber überprüfen, ob in ihrem Browser die aktuellste Version der Erweiterung installiert ist.

Nutzer berichten, dass Microsoft offenbar bereits vor einiger Zeit begonnen habe, Keeper still und leise auf neuen Windows-10-Installationen ohne Rückfrage mitzuinstallieren. Wie es passieren konnte, dass eine solch kritisch fehlerhafte Anwendung eines Drittanbieters in Windows vorinstalliert wird, wollte Microsoft auf Nachfrage von Ars Technica nicht beantworten. Auch zu den Prüfkriterien für vorinstallierte Programme wollte sich das Unternehmen nicht äußern.

Seltsame Kommunikation

Seltsam mutet zudem die Kommunikation des Herstellers an. In einer Pressemitteilung spricht Keeper Security konsistent von einer "potenziellen Schwachstelle", so als wäre die Lücke nur möglicherweise oder für vereinzelte Nutzer relevant. Stattdessen betrifft der von Ormandy (zwei Mal) gefundene Fehler konkret und real alle Nutzer der Browser-Erweiterung. Zudem bleibt unklar, wie das Unternehmen zu der mit Sicherheit geäußerten Einschätzung gelangt, dass "kein Kunde von der potenziellen Schwachstelle negativ beeinflusst" worden sei.



Anzeige
Spiele-Angebote
  1. 2,49€
  2. 4,99€
  3. 4,99€
  4. 18,49€

Stepinsky 20. Dez 2017

Vielleicht beantwortet dieser Einstieg gleich mal deine Frage weiter unten: Du steigst...

seriousssam 18. Dez 2017

mehr muss man dazu nicht sagen

Arsenal 18. Dez 2017

Bei mir wurden die unter Programme deinstallieren (keine Ahnung wie das unter Win10...


Folgen Sie uns
       


Xiaomi Mi 9 - Hands on (MWC 2019)

Xiaomi bringt das Mi 9 nach Europa. Der Europastart wurde auf dem Mobile World Congress 2019 in Barcelona verkündet. Das Topsmartphone hat eine Triple-Kamera mit bis zu 48 Megapixeln. Es liefert für einen Preis ab 450 Euro eine sehr gute technische Ausstattung.

Xiaomi Mi 9 - Hands on (MWC 2019) Video aufrufen
Geforce GTX 1660 im Test: Für 230 Euro eine faire Sache
Geforce GTX 1660 im Test
Für 230 Euro eine faire Sache

Die Geforce GTX 1660 - ohne Ti am Ende - rechnet so flott wie AMDs Radeon RX 590 und kostet in etwa das Gleiche. Der klare Vorteil der Nvidia-Grafikkarte ist die drastisch geringere Leistungsaufnahme.

  1. Nvidia Turing OBS unterstützt Encoder der Geforce RTX
  2. Geforce GTX 1660 Ti im Test Nvidia kann Turing auch günstig(er)
  3. Turing-Grafikkarten Nvidias Geforce 1660/1650 erscheint im März

Trüberbrook im Test: Provinzielles Abenteuer
Trüberbrook im Test
Provinzielles Abenteuer

Neuartiges Produktionsverfahren, prominente Sprecher: Das bereits vor seiner Veröffentlichung für den Deutschen Computerspielpreis nominierte Adventure Trüberbrook bietet trotz solcher Auffälligkeiten nur ein allzu braves Abenteuer in der deutschen Provinz der 60er Jahre.
Von Peter Steinlechner

  1. Quellcode Al Lowe verkauft Disketten mit Larry 1 auf Ebay
  2. Wet Dreams Don't Dry im Test Leisure Suit Larry im Land der Hipster
  3. Life is Strange 2 im Test Interaktiver Road-Movie-Mystery-Thriller

Fido-Sticks im Test: Endlich schlechte Passwörter
Fido-Sticks im Test
Endlich schlechte Passwörter

Sicher mit nur einer PIN oder einem schlechten Passwort: Fido-Sticks sollen auf Tastendruck Zwei-Faktor-Authentifizierung oder passwortloses Anmelden ermöglichen. Golem.de hat getestet, ob sie halten, was sie versprechen.
Ein Test von Moritz Tremmel

  1. E-Mail-Marketing Datenbank mit 800 Millionen E-Mail-Adressen online
  2. Webauthn Standard für passwortloses Anmelden verabschiedet
  3. Studie Passwortmanager hinterlassen Passwörter im Arbeitsspeicher

    •  /