Der Keeper exponierte beim Einfügen des vertrauenswürdigen User Interfaces des Managers in die Webseite eines Drittanbieters die gespeicherten Passwörter. Ormandy zeigt in einem Proof-of-Concept das Verhalten der verwundbaren Version.

Betroffen ist nicht der Passwortmanager selbst, sondern die dazugehörige Browsererweiterung KeeperFill. KeeperFill ist für das automatische Einfügen von Zugangsdaten auf Webseiten mit Login zuständig. Am 15. Dezember hat der Hersteller Keeper Security die gepatchte Version 11.4.4 von KeeperFill bereitgestellt. Das Update soll bei den meisten Browsern automatisch eingespielt werden.

(pp, hannover)

(siehe auch golem.de:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE