شناسایی نقص امنیتی در سیستم عامل «ویندوز۱۰»

۱۳۹۶/۱۰/۰۷ - ۰۰:۰۰:۰۰
کد خبر: ۱۱۳۷۵۴
شناسایی نقص امنیتی در سیستم عامل «ویندوز۱۰»

 ماهر|

 مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌یی از پیدا شدن نقص امنیتی جدید در مدیریت گذر واژه‌ سیستم عامل یکی از محققان امنیتی Google، به نام اورمندی که در گذشته اشکالات عمده‌ موجود در ویندوز و ویژگی‌های آن را کشف کرده و گزارش داده بود، به تازگی اعلام کرده که «ویندوز۱۰» در معرض آسیب‌پذیری امنیتی جدیدی قرار دارد که روی کاربران مایکروسافت تاثیر می‌گذارد.

این آسیب‌پذیری در مدیریت گذرواژه‌ Keeper وجود دارد که در برخی نسخه‌های «ویندوز۱۰» از پیش نصب شده است. مدیریت گذرواژه‌ در تولید و بازیابی رمزهای‌عبور پیچیده کمک می‌کند، آنها را در پایگاه داده‌ رمزگذاری‌شده ذخیره یا براساس تقاضا محاسبه می‌کند. همچنین Keeper رمزهای عبور قوی را ایجاد و این رمزها را در همه‌ سیستم‌عامل‌ها و دستگاه‌ها سازماندهی می‌کند.

در حالی که این مساله، نقص امنیتی در ویندوز یا سایر محصولات مایکروسافت به حساب نمی‌آید؛ اما جزییات اطلاعات کاربران ویندوز را در معرض افشاء قرار می‌دهد، زیرا مهاجمان می‌توانند رمز عبور کاربران را در صورتی که به Keeper متکی باشند، سرقت کنند. اورمندی همچنین یک آسیب‌پذیری مربوط به نحوه تزریق UIهای اختصاصی به صفحات در نسخه‌ غیرمجاز افزونه‌ Keeper را در سال ۲۰۱۶ کشف کرده بود که تقریبا با این آسیب‌پذیری امنیتی یکسان است. در آن آسیب‌پذیری نیز وب‌سایت‌های مخرب قادر به سرقت رمزهای عبور کاربران از راه دور بودند.

همچنین یک نسخه آزمایشی توسط این محقق امنیتی منتشر شده که ثابت می‌کند، آسیب‌پذیری وجود دارد که باعث سرقت رمزهای عبور توییتر نیز می‌شود.

مایکروسافت اعلام کرده است که این مشکل در بروزرسانی جدید برطرف خواهد شد. همچنین شرکت توسعه‌دهنده‌ مدیریت رمز عبور Keeper این نقص را تایید و به‌روزرسانی نسخه‌ ۱۱. ۴. ۴ را برای رسیدگی به آن منتشر کرده است.

افزونه‌ مرورگر برای Edge، Chrome و Firefox بطور خودکار به‌روز می‌شود؛ هنوز هیچ حمله‌یی که از این آسیب‌پذیری استفاده کند، منتشر نشده است. کاربران ویندوز ۱۰ در صورت عدم نیاز می‌توانند در Keeper password manager، قابلیت ذخیره‌سازی رمز عبور را غیرفعال کنند. در اینصورت دیگر نسبت به سرقت رمز عبور آسیب‌پذیر نیستند. با این وجود مایکروسافت هنوز در رابطه با اینکه چگونه Keeper password manager روی کامپیوتر کاربران و بدون اطلاع آنان نصب شده، توضیحی نداده است.