谷歌的分析师发现，Win10巨大安全漏洞可能会让黑客窃取用户密码

Windows 10的一个巨大安全漏洞可能会让黑客窃取全球数千名用户的密码。

一位分析人士透露，这个月大约有八天的时间里，一些版本的操作系统和一个密码管理器一起发出了一个巨大的安全漏洞。

这一漏洞意味着网络犯罪分子可以很容易地窃取存储在第三方应用程序中的密码，并利用它们侵入人们的在线账户。

谷歌研究员Tavis Ormandy说，当他测试这款应用程序时，它要求他启用的浏览器插件包含了一个严重的安全漏洞。

该软件分析师在一篇博客文章中写道，该漏洞代表了“一个完全妥协的看守安全，允许任何网站窃取任何密码”。

这个漏洞意味着黑客可以欺骗浏览器扩展，让他们看到用户存储的密码的数据库。

总部位于加州的Ormandy先生补充说，他在16个月前在密码管理器的浏览器插件中发现了一个类似的漏洞。

一位管理员的发言人声称，这一漏洞与Ormandy去年发现的不同。

他们说，这个缺陷只影响到了12月6日发布的《管家应用》的11版，8天后问题就解决了。

这名发言人说，用户只有在遵循管理员程序提示安装浏览器插件时才会被曝光。

这位发言人说:“昨天(12月14日)，Tavis Ormandy(在谷歌的一位备受尊敬的安全研究员)联系了我们浏览器扩展更新的潜在漏洞。”

这个潜在的漏洞需要一个管理员用户在登录到浏览器扩展时被引诱到一个恶意网站，然后通过使用一个clickjacking和/或恶意代码注入技术在浏览器扩展中执行特权代码来伪造用户输入。

“从我们接到这个问题的通知起，我们就解决了这个问题，并在24小时内向我们的客户发布了自动扩展更新。”

“没有报告说有任何客户受到这一漏洞的影响。”

“管理员密码管理器”的缺陷版本是在新开发的Windows 10系统中预装的，该系统直接来自微软开发人员网络。

但是Reddit的用户报告说，该软件最近也开始出现在操作系统的个人版本上。

用户ToppestOfDogs说:“我今天刚刚重新安装了Windows 10，我卸载了所有的捆绑应用程序，像往常一样，我注意到现在已经预装了管理员密码管理器。”我以前从未见过这个安装在Windows上的。

“这并不是像其他应用一样安装它的链接，它实际上是安装和打开的。”

微软没有立即就此事发表评论。