Windows 10: Vorinstallierter Passwort-Manager mit kritischer Sicherheitslücke ausgeliefert
Wer dieser Tage eine neue Windows-10-Installation aufsetzt, dürfte bereits angesichts dessen überrascht sein, dass Microsoft das Betriebssystem neuerdings mit vorinstallierten Anwendungen von Drittentwicklern ausliefert. Noch überraschter war ein Sicherheitsforscher, der im mitinstallierten Passwort-Manager "Keeper" eine 16 Monate alte, kritische Sicherheitslücke entdeckte.
Wie einige Reddit-Nutzer bereits vor einem halben Jahr festgestellt haben, liefert Microsoft Windows 10 seit einiger Zeit mit vorinstallierter Software von Drittentwicklern aus. Der in diesem Rahmen installierte Passwort-Manager "Keeper" hat bereits seiner Zeit Unmut bei einigen Nutzern ausgelöst, bei denen sich die Software nach der Deinstallation offenbar wiederholt und ungefragt erneut installiert hat.
Zumindest für acht Tage hat Microsoft den Passwort-Manager nun in Version 11 ausgeliefert, die mittels eines Browser-Plugins die Verwaltung von Website-Passwörtern erleichtern möchte. Das installierte Browser-Plugin krankte leider an einer Sicherheitslücke, die es mittels eines einfachen Exploits Webseiten ermöglicht hat, alle Passwörter des Nutzers im Klartext auszulesen. Der Sicherheitsforscher Tavis Ormandy hatte denselben Bug bereits vor 16 Monaten entdeckt und war nun umso überraschter, dass die Entwickler es seither nicht geschafft haben, die Sicherheitslücke zu schließen.
Der Umgang der Entwickler mit dem Problem ist ebenso fraglich: Zwar hat man die Sicherheitslücke mit Version 11.4 inzwischen dadurch geschlossen, dass man die unsichere Funktion schlichtweg entfernt hat. Gleichzeitig wurde Ormandy jedoch aufgefordert, seinen Exploit-Bericht dahingehend anzupassen, dass Keeper und das Browser-Plugin zwei separate Produkte seien, und Ormandy fälschlicherweise auch die Haupt-Software Keeper des Fehlers beschuldigt hätte.
Microsoft selbst äußert sich ebenfalls nur spärlich: Auf die Frage, ob das Unternehmen vorinstallierte Third-Party-Software teste und unter welchen Umständen Windows 10 die zusätzliche Software mitinstalliere, antwortete ein Sprecher lediglich: "Wir wissen um den Bericht über diese Third-Party-App und der Entwickler stellt zum Schutz der Kunden Updates bereit."
Quelle: Arstechnica
Ach komm. Das kann doch nicht denen ihr Ernst sein
Naja. Ich benutze dafür immer KeypassX. Wurde mir von unserem Systemadmin in der Arbeit empfohlen.
Irgend wie muss Microsoft die ,Umsonst, geupgradeten win 10 Versionen ja wieder in die Kassen spielen.
Gibt's irgendwo sowas wir eine Liste, was Mircrosoft da zusätzlich zu eigenem Müll noch so unterjubeln will?