Tavis Ormandy, Sicherheitsforscher von Google, hat nun aber eine schwerwiegende Sicherheitsleck in der Passwortverwaltung Keeper entdeckt und erste Details veröffentlicht. Wird ein Nutzer auf eine manipulierte Seite gelockt, können sämtliche gespeicherten Passwörter abfließen. Inzwischen liegt für diese Drittanbieter App ein Patch vor. Keeper ist kostenlose für Windows 10 verfügbar und wird inzwischen zusammen mit Windows 10 ausgeliefert. Vermutlich wurde zwischen Microsoft und Keeper eine Art Abkommen geschlossen.
Laut eigenen Angaben hatte Keeper die Schwachstelle innerhalb von 24 Stunden behoben und die Browser-Erweiterungen für Edge, Chrome und Firefox wurden bereits automatisch aktualisiert.
Für Apples Safari müssen Anwender Keeper-Erweiterung für Safari können das Update auf Keeper Version 11.4.4 manuell durchführen. Der Hersteller streicht heraus, dass bislang keine Fälle bekannt wurden, bei denen diese Sicherheitslücke ausgenutzt wurden.
Helge Husemann, Product Marketing Manager EMEA von Malwarebytes, stellt in diesem 60-minütigen Webinar (Aufzeichnung) die neue Sicherheitslösung Malwarebytes Endpoint Protection vor. Sie enthält ein mehrstufiges Sicherheitskonzept und bietet damit einen effektiven Schutz vor modernen Bedrohungen wie WannaCry, Petya und anderen.
Damit dieses Leck ausgenutzt werden kann, muss ein Keeper-User mit aktivierter Browser-Erweiterung auf eine bösartige Webseite gelockt werde. Hier wird der Nutzer dann wird über Clickjacking oder das Zwischenschalten eines bösartigen Codes, ein privilegierter Code innerhalb der App ausgeführt. Das führt dann dazu, dass die gespeicherten Passwörter ausgegeben werden.
“Wie auch immer: das ist eine vollständiger Ausfall der Sicherheit von Keeper, der es jeder beliebigen Webseite erlaubt, jedes Passwort zu stehlen”, kommentiert Omandi. Der Sicherheitsforscher erklärt, dass er im aktuellen Fall jedoch keine neue Lücke sieht. Vielmehr handle es sich um ein altbekanntes Leck, das er bereits im August des vergangenen Jahres beschrieben hatte. Um das aktuelle Leck aufzuspüren hatte Omandi die gleichen Selektoren und Abfragen genutzt. Ein Demo seiner Entdeckung zeigt Omandi hier.
"Das Grundprinzip der Zero Trust Architektur hat sich bis heute nicht geändert, ist aber relevanter…
Androxgh0st zielt auf Windows-, Mac- und Linux-Plattformen ab und breitet sich rasant aus. In Deutschland…
Mit autonomen Pentests aus der Cloud lassen sich eigene Schwachstelle identifizieren.
Die Drogeriekette Rossmann wird ihr neues Zentrallager in Ungarn mit Software von PSI steuern.
Automobilhersteller planen, Quantentechnologie zunehmend auch bei fortschrittlichen Fahrerassistenzsystemen (ADAS) einzusetzen.
Blue Yonder soll mehr Nachhaltigkeit entlang der Lieferkette der internationale Brauerei ermöglichen.
