Nhân viên Google phát hiện ra lỗ hổng bảo mật trên trình quản lý mật khẩu của Windows 10

Tuy nhiên, vấn đề này hiện đã được khắc phục trong bản cập nhật phần mềm mới và chưa gây ra ảnh hưởng nghiêm trọng nào đối với người dùng.

Mới đây, chuyên viên nghiên cứu bảo mật Tavis Ormandy của Google đã phát hiện ra một lỗi nghiêm trọng trong tính năng Password Manager trên Windows 10 có thể giúp hacker có thể dễ dàng đánh cắp mật khẩu người dùng.

 Lỗ hổng bảo mật lần này xảy ra trên trình quản lý mật khẩu Keeper.

Lỗ hổng bảo mật lần này xảy ra trên trình quản lý mật khẩu Keeper.

Cụ thể, Ormandy cho biết lỗ hổng này xuất hiện cùng ứng dụng quản lý mật khẩu Keeper do bên thứ ba cung cấp và được tích hợp với các trình duyệt web trên những thiết bị chạy Windows 10. Trùng hợp thay, chính Ormandy cũng là người đã tìm ra lỗi tương tự vào năm 2016: “Khi ấy, tôi đã phát hiện lỗi về việc họ (hacker) tìm cách tích hợp các giao diện bí mật vào những trang web mà người dùng truy cập. Tôi đã lập tức kiểm tra lại và có vẻ như phiên bản Windows này cũng đang gặp phải tình trạng tương tự”.

Ormandy đã mô tả lại phương thức tấn công lần này và chia sẻ những chi tiết liên quan trong dự án Zero của mình. Tuy nhiên, anh sẽ không tiết lộ bất cứ thông tin gì trong khoảng thời gian 90 ngày. Điều này đồng nghĩa với việc nếu Microsoft/Keeper không thể khắc phục lỗ hổng ấy trong thời hạn trên, Ormandy hoàn toàn có quyền công khai toàn bộ chi tiết về cách khai thác nó.

 Tôi đã sử dụng một hình ảnh sạch từ MSDN để tạo ra một Virtual Machine Windows 10 mới, và lập tức phát hiện ra một ứng dụng quản lý mật khẩu do bên thứ ba cung cấp được cài đặt mặc định, kéo theo đó là một lỗ hổng bảo mật nghiêm trọng.

“Tôi đã sử dụng một hình ảnh “sạch” từ MSDN để tạo ra một Virtual Machine Windows 10 mới, và lập tức phát hiện ra một ứng dụng quản lý mật khẩu do bên thứ ba cung cấp được cài đặt mặc định, kéo theo đó là một lỗ hổng bảo mật nghiêm trọng”.

Nghe thì có vẻ khá nghiêm trọng nhưng Keeper đã nhanh chóng tung ra bản cập nhật phần mềm đầu tiên vào ngày hôm qua (17/12) nhằm giải quyết triệt để vấn đề bảo mật đang tồn tại bên trong ứng dụng của hãng. Họ cho biết: “Tất cả các khách hàng đang sử dụng tiện ích mở rộng của Keeper trên Microsoft Edge, Google Chrome hay Mozilla Firefox đều đã nhận được bản cập nhật 11.4.4 thông qua quá trình cập nhật tiện ích trên trình duyệt của họ. Đối với những khách hàng sử dụng Safari, họ có thể tiến hành cập nhật thủ công thông qua trang download của Keeper. Hiện tại, chúng tôi vẫn chưa ghi nhận trường hợp người dùng nào bị tấn công qua lỗ hổng này. Ngoài ra, phiên bản ứng dụng trên điện thoại và máy tính cũng không bị ảnh hưởng nên không cần phải cập nhật”.

Theo Genk

Tổ Chức Giáo dục FPT – fpt.edu.vn

Kỹ Sư An Ninh Mạng Quốc Tế FPT Jetking – jetking.fpt.edu.vn