ባለፈው ሳምንት የታዋቂው የይለፍ ቃል አቀናባሪ LastPass አዘጋጆች የተጠቃሚ ውሂብን ወደ መፍሰስ ሊያመራ የሚችል ተጋላጭነትን የሚያስተካክል ዝማኔ አውጥተዋል። ችግሩ መፍትሄ ካገኘ በኋላ ይፋ ሆነ እና የ LastPass ተጠቃሚዎች የይለፍ ቃል አስተዳዳሪያቸውን ወደ የቅርብ ጊዜው ስሪት እንዲያዘምኑ ተመክረዋል።
እየተነጋገርን ያለነው በመጨረሻው የጎበኘው ድረ-ገጽ ላይ በተጠቃሚው የገባውን መረጃ ለመስረቅ አጥቂዎች ሊጠቀሙበት ስለሚችለው ተጋላጭነት ነው። ችግሩ ባለፈው ወር የተገኘዉ በመረጃ ደህንነት ዘርፍ ጥናትና ምርምር በሚያካሂደዉ የጎግል ፕሮጀክት ዜሮ ፕሮጀክት አባል በታቪስ ኦርማንዲ ነዉ።
LastPass በአሁኑ ጊዜ በጣም ታዋቂው የይለፍ ቃል አስተዳዳሪ ነው። ገንቢዎቹ ቀደም ሲል የተጠቀሰውን ተጋላጭነት በስሪት 4.33.0 አስተካክለዋል፣ ይህም በሴፕቴምበር 12 ላይ ለህዝብ ይፋ ሆነ። ተጠቃሚዎች የ LastPass አውቶማቲክ ማሻሻያ ባህሪን የማይጠቀሙ ከሆነ የቅርብ ጊዜውን የሶፍትዌር ስሪት እራስዎ እንዲያወርዱ ይመከራሉ። ይህ በተቻለ ፍጥነት መደረግ አለበት, ምክንያቱም ተጋላጭነቱን ካስተካከሉ በኋላ ተመራማሪዎች ዝርዝሮቹን አሳትመዋል, ይህም በአጥቂዎች አፕሊኬሽኑ ካልተዘመነባቸው መሳሪያዎች የይለፍ ቃሎችን ለመስረቅ ሊጠቀሙበት ይችላሉ.
የተጋላጭነትን መበዝበዝ በዒላማው መሣሪያ ላይ ያለ ምንም የተጠቃሚ መስተጋብር ተንኮል አዘል የጃቫ ስክሪፕት ኮድ መፈጸምን ያካትታል። አጥቂዎች በይለፍ ቃል አቀናባሪ ውስጥ የተከማቹ ምስክርነቶችን ለመስረቅ ተጠቃሚዎችን ወደ ተንኮል አዘል ጣቢያዎች ሊያሳስቱ ይችላሉ። ታቪስ ኦርማንዲ አጥቂዎች ተንኮል-አዘል አገናኝን በመደበቅ ተጠቃሚው በቀደመው ድረ-ገጽ ላይ የገቡትን የምስክር ወረቀቶች ለመስረቅ እሱን ጠቅ እንዲያደርጉ ስለሚያታልሉ ተጋላጭነቱን መጠቀሙ በጣም ቀላል ነው ብሎ ያምናል።
የ LastPass ተወካዮች በዚህ ሁኔታ ላይ አስተያየት አይሰጡም. በአሁኑ ጊዜ ይህ ተጋላጭነት በአጥቂዎች ጥቅም ላይ የዋለባቸው የታወቁ ጉዳዮች የሉም።
ምንጭ: 3dnews.ru