无论对自家的代码多么小心控管,当包裹的第三方插件出包时,还是会为最终产品带来风险的。微软最近就面临了这个问题,被 Google 的研究专家 Tavis Ormandy 在 Windows 10 的映像档当中包含的 Keeper 网页密码管理插件里,发现了一个大漏洞,让恶意网站可以盗取你存下来的密码。虽然 Ormandy 的映像档是开发者用的 MSDN 版本,但有 Reddit 的使用者回报在一般市售的安装版中,也有同样受影响的 Keeper 版本。
一名微软发言人向 Ars Technica 表示 Keeper 的团队已将漏洞补好(Ormandy 先私底下接洽了开发团队,确定 Keeper 已经漏洞补好才公开发现的),只要 Windows 有更新的话应该是安全无虞。自然,没有使用 Keeper 插件的人也不会有任何的危险。
不过就算是第三方插件供应者出包,对一般使用者恐怕不会做出这样的区别,最终来说会被要求负责的还是将它包进来的微软吧?要如何加强对包装进来的第三方软件的控管,恐怕也是微软要面临的重要课题了。
经由: Engadget
来源: Tavis Ormandy (Twitter)
