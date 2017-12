Ein Sicherheitsforscher entdeckt erneut eine Schwachstelle in Keeper. Offenbar haben einige Windows-10-Versionen den Passwort-Manager standardmäßig mit im Gepäck.

Die Webbrowser-Erweiterung des Passwort-Managers Keeper ist verwundbar, Angreifer könnten Kennwörter aus dem Manager auslesen. In der Standardeinstellung installiert sich diese Erweiterung automatisch mit.

Google-Sicherheitsforscher Tavis Ormandy hat die Lücke entdeckt, nachdem er ein MSDN-Image von Windows 10 installiert hat. Anschließend wunderte er sich, warum Keeper standardmäßig mit installiert war. Darauf stießen in den vergangenen Monaten bereits andere Nutzer. Ein offizielles Statement von Microsoft dazu steht derzeit noch aus. Vermutlich handelt es sich dabei um eine Art Kooperation.

Clickjacking

Bereits 2016 stieß Ormandy auf eine ähnliche Lücke, die sich im Grunde genauso ausnutzen lässt wie die aktuelle. Dabei könnten Angreifer vermeintlich in Keeper geschützte Passwörter via Clickjacking auf beliebigen Webseiten auslesen. Anhand einer Demo zeigt er, wie sich so zum Beispiel Twitter-Passwörter abziehen lassen.

Davon soll die Version 11.3 betroffen sein. Mittlerweile haben die Entwickler den Passwort-Manager in der ihren Angaben zufolge abgesicherten Ausgabe 11.4.4 veröffentlicht. Bisher soll es keine Angriffe auf diese Lücke gegeben haben. (des)