В начале декабря американский разработчик софта Keeper объявил о выходе новой версии расширения для браузеров Keeper Password Manager под номером 11.4. Программа позволяет хранить пользовательские пароли, а также документы, фото и видео. По сравнению с предыдущей версией 11.3, выпущенный патч дополняет плагин целым рядом новых функций и улучшает старые.

Однако буквально через неделю после выхода последней версии расширения в нем была обнаружена потенциальная критическая уязвимость. О ней Keeper сообщил Тавис Орманди (Tavis Ormandy), эксперт по интернет-безопасности в Google.

Практически такой же изъян Орманди уже находил год назад в предыдущей версии приложения. Как рассказывает эксперт, вначале он просто заметил, что на его компьютере появилась новая версия программы Keeper Password Manager для Windows 10. Затем эксперт вспомнил о найденной в прошлом году уязвимости и решил проверить ее наличие в обновленном расширении. Для этого он воспроизвел кибератаку, которую применял для прошлой версии Keeper, и тут же обнаружил аналогичный изъян в программе.

В доказательство своей находки Орманди сделал доступный PoC-эксплойт, который похищает из Keeper пароли пользователей Twitter.

Потенциальная уязвимость работает следующим образом. При входе в Keeper Browser Extension программа заманивает пользователей на вредоносный сайт, а затем крадет их данные, используя механизм кликджекинга или внедряя вредоносный код. Последний, в свою очередь, исполняется в расширении браузера в привилегированном порядке.

Информация о найденной уязвимости поступила в Keeper 14 декабря, и уже через сутки компания выпустила автоматическое обновление для последней версии Keeper Browser Extension. В нем также минимизирована вероятность появления подобной ошибки в будущих обновлениях.

Все клиенты компании, использующие Keeper Browser Extension в Chrome, Firefox и Edge, уже получили новую версию в автоматическом режиме, ей присвоен номер 11.4.4. Пользователи браузера Safari могут получить ее, посетив сайт компании Keeper и скачав апдейт вручную. Что касается мобильных версий и приложений Keeper для настольных компьютеров, то они, по данным компании, не содержат обозначенную выше уязвимость.

На сегодняшний день разработчики не получали сообщений о вреде, вызванном брешью, равно как и об ее эксплуатации.

Категории: Кибероборона