Windows10内建密码管理软件Keeper有漏洞，使用者密码安全恐不保!

隶属Google Project Zero抓虫大队的Tavis Ormandy上周四（12/14）揭露，最新版的Windows 10内建了一个含有安全漏洞的Keeper扩充程式，将允许恶意网站窃取使用者的密码，而Keeper则于上周五（12/15）紧急更新了该漏洞。

Ormandy表示，他发现Keeper含有一安全漏洞，只要于网页上注入特权界面（Privileged UI），任何网站都能盗取使用者的密码，类似他去年发现的Keeper漏洞。Ormandy还设立了一展示网页，可汲取使用者所输入的Twitter密码。

Keeper为一密码管理软件，为Windows 10中所内建的浏览器扩充程式，当使用者开启Keeper时，便会曝露在上述的漏洞风险中。

Keeper表示，要开采该漏洞必须在使用者登入Keeper时，诱导使用者造访一个恶意网站，目前并未传出任何灾情，该公司已借由移除程式中的“Add to Existing”功能来解决该问题，也采取其他措施以避免类似的漏洞再出现。

上周五Keeper已释出11.4.4版来修补臭虫，其中，位于Microsoft Edge、Chrome及Firefox中的Keeper扩充程式会进行自动更新，而Safari用户则必须手动升级Keeper。