Seorang peneliti keamanan Google telah menemukan dan membantu memperbaiki kerentanan yang parah di Keeper, aplikasi password manager Windows 10 yang telah dibundel oleh Microsoft dengan beberapa distribusi Windows 10 tahun ini.
“Saya pernah mendengar tentang Keeper, saya ingat pernah mengajukan bug beberapa waktu yang lalu tentang bagaimana menginjeksikan privileged UI ke dalam halaman,” kata Tavis Ormandy, peneliti keamanan Google yang menemukan kerentanan baru-baru ini.
“Saya memeriksa dan, mereka melakukan hal yang sama lagi dengan versi ini,” tambah pakar tersebut, merujuk pada aplikasi Keeper yang dibundel dengan beberapa versi Windows 10.
“Saya pikir saya sudah bermurah hati mengingat ini sebuah isu baru yang memenuhi syarat untuk pengungkapan sembilan puluh hari, karena saya benar-benar baru saja mengubah penyeleksi dan serangan yang sama berhasil. Namun demikian, ini adalah kompromi lengkap keamanan Keeper, yang memungkinkan situs web untuk mencuri kata sandi apapun,” tambah Ormandy.
Untuk membuktikan maksudnya, Ormandy juga membuat halaman demo dimana pengguna Keeper dapat melihat kerentanan tersebut.
Keeper Mengakui Kesalahannya Dan Mengeluarkan Update Darurat
Masalah ini mempengaruhi versi ekstensi browser Keeper versi 11.3. Tim Keeper mengeluarkan update kurang dari 24 jam setelah menerima laporan Ormandy.
Ekstensi browser Keeper baru versi 11.4 sekarang didorong ke pengguna, kata Lurey. Dan dikatakan bahwa fitur “Add to Existing” yang bermasalah dinonaktifkan sampai mereka memperbaiki kerentanan di dalamnya.
Kerentanan Belum Dieksploitasi
Craig Lurey (Co-Founder dan CTO Keeper Security), mengatakan bahwa perusahaan tersebut tidak mengetahui adanya serangan yang menggunakan kerentanan ini, juga tidak ada pelanggan yang melaporkan insiden keamanan dimana bug tersebut disalahgunakan.
