
パスワード管理のソフトでMicrosoft Storeからダウンロードできる「Keeper Password Manager」ですが、このソフトに脆弱性が見つかり、使用しているユーザーは早急にアップデートを行なってください。また、Window10ユーザーは勝手にインストールされている可能性もあるため、確認が必要です。
これはWindows 10の大型アップデートであるバージョン1607から、Microsoftはユーザーの許可を求めずに、新しい「推奨アプリケーション」を勝手にインストールするContent Delivery Managerという新しい機能を追加しております。この推奨アプリケーションのインストールにより、WIndows10ユーザーにはKeeper Password Managerがインストールされている可能性があります。
今回見つかったKeeper Password Managerのセキュリティ上の脆弱性は、Ormandy が 2016年8月に同じKeeperプラグインのバンドルされていないバージョンで発見して報告したものとほぼ同じで、悪意のあるWebサイトがパスワードを盗む可能性があるとのことです。
Keeperの開発者は、この問題を把握しており、バージョン11.4で脆弱な部分である「既存の機能に追加」機能を削除して修正をリリースしております。
この脆弱性は12月6日に主要なブラウザの拡張機能アップデートとしてリリースされたKeeperアプリケーションのバージョン11にのみ影響するとのことです。
Windows 10ユーザーの場合は、 古いバージョンのKeeperパスワードマネージャ使ってパスワードを保存させない限り、ユーザーはパスワード盗難に対して脆弱はないとのことです。
また、今回のバージョン1607から搭載された「推奨アプリケーション」を勝手にインストールするContent Delivery Managerを停止させる方法はレジストリで停止することができます。その方法は次の通りです。
1.スタートメニューを右クリックし、「regrdit」と入力
2.「HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ContentDeliveryManager」を開きます。
3.SilentInstalledAppsEnabled の値を 0 にします。(デフォルトが1です)
4.再起動します
コメント