谷歌安全研究員Tavis Ormandy之前報告并披露了Windows及其功能中的幾個主要漏洞。現在他發現了一個影響微軟用戶的新安全漏洞。這一次，他發現Keeper密碼管理器中存在一些缺陷，預裝在Windows 10的某些版本中，Ormandy解釋說，這類似于他在2016年8月發現的漏洞。

訪問:

微軟中國官方商城

Ormandy在12月14日解釋說：“我記得前一陣子提交了一個關于如何在頁面中注入特權UI的bug。”我檢查了一下，他們又用這個版本再次做同樣的事情。雖然這不是Windows或者其他微軟產品的安全漏洞，但是它確實暴露了Windows用戶的細節，因為攻擊者可以依靠Keeper竊取他們的密碼。

Ormandy也發布了一個盜取Twitter密碼的工作demo來演示這個漏洞，并解釋說：“這是一個完全妥協的守門員安全，允許任何網站竊取任何密碼。微軟表示在Ormandy的帖子后不久就知道這個問題，并解釋說應用程序的更新正在進行中。一位公司發言人說：我們知道這個第三方應用程序的報告，而開發者正在提供更新以保護客戶。

Keeper密碼管理器的開發公司已經認識到這個漏洞，并且發布了對版本11.4.4的更新來解決它。該公司表示，這個漏洞只能通過將用戶引導到利用該缺陷的特制網站來利用，因此，在修補應用程序之前，遠離可能對用戶電腦構成威脅的鏈接是一種保持安全的簡單方法。

該公司解釋說：“這個潛在的漏洞要求Keeper用戶在登錄到瀏覽器擴展中時被誘騙到惡意網站，然后通過使用“clickjacking”技術來欺騙用戶輸入，以在瀏覽器擴展中執行特權代碼。盡管Windows操作系統本身并不存在這個缺陷，但它再一次提出了微軟將軟件推向用戶的策略，這個策略可能暴露出他們的數據。目前尚不清楚誰是Keeper預先安裝的捆綁交易一部分，但好的一面是，用戶可以卸載禁用這款軟件。