Google-forskeren Tavis Ormandy har avslørt at Windows 10 ble levert med en app som hadde et stort sikkerhetshull. I åtte dager lå programmet ute med en kritisk feil.
Alvorlig sikkerhetshull
Programvaren det er snakk om er passordhåndtereren Keeper som følger med enkelte Windows 10-utgaver. Google-forskeren skriver at programmet ligger installert på versjoner lastet ned fra MSDN og som er ment for utviklere, men flere på Reddit skriver at Keeper også ligger installert etter en fersk installasjon av Windows 10. Blant annet lå den forhåndsinstallert på Windows 10-versjonen undertegnede nylig installerte og som ble lastet ned fra Microsofts hjemmesider.
Funnene til Ormandy viser at Keeper inneholdt et stort sikkerhetshull som gjorde det mulig for ondsinnede nettsider å stjele passord fra brukernes PC-er.
I created a new Windows 10 VM with a pristine image from MSDN, and noticed a third party password manager is now installed by default. It didn't take long to find a critical vulnerability. https://t.co/dbkznucgLm
— Tavis Ormandy (@taviso) December 15, 2017
Annonse
Hullet er tettet
En talsperson fra Microsoft sier til Ars Technica at Keeper-utviklerne har sluppet en oppdatering som tetter hullet. Heldigvis var PC-en kun sårbar hvis man hadde aktivert tillegget.
Dette bidrar naturligvis til å gjøre den allerede store skepsisen til gjøkeprogram, enda større, og spørsmålet er om Microsoft tester tredjepartsprogramvare som leveres med Windows 10 godt nok.
Kilde:
Ars Technica
Annonse