في الأسبوع الماضي، أصدر مطورو مدير كلمات المرور الشهير LastPass تحديثًا يعمل على إصلاح ثغرة أمنية قد تؤدي إلى تسرب بيانات المستخدم. تم الإعلان عن المشكلة بعد حلها ونُصح مستخدمو LastPass بتحديث مدير كلمات المرور الخاص بهم إلى الإصدار الأحدث.
نحن نتحدث عن ثغرة أمنية يمكن أن يستخدمها المهاجمون لسرقة البيانات التي أدخلها المستخدم على آخر موقع ويب تمت زيارته. وتم اكتشاف المشكلة الشهر الماضي من قبل تافيس أورماندي، عضو مشروع Google Project Zero، الذي يجري أبحاثًا في مجال أمن المعلومات.
يعد LastPass حاليًا مدير كلمات المرور الأكثر شيوعًا. قام المطورون بإصلاح الثغرة الأمنية المذكورة سابقًا في الإصدار 4.33.0، والذي أصبح متاحًا للجمهور في 12 سبتمبر. إذا لم يستخدم المستخدمون ميزة التحديث التلقائي الخاصة بـ LastPass، فننصحهم بتنزيل أحدث إصدار من البرنامج يدويًا. ويجب أن يتم ذلك في أسرع وقت ممكن، لأنه بعد إصلاح الثغرة الأمنية، نشر الباحثون تفاصيلها، والتي يمكن للمهاجمين استخدامها لسرقة كلمات المرور من الأجهزة التي لم يتم تحديث التطبيق عليها بعد.
يتضمن استغلال الثغرة الأمنية تنفيذ تعليمات برمجية JavaScript ضارة على الجهاز المستهدف، دون أي تدخل من المستخدم. يمكن للمهاجمين جذب المستخدمين إلى المواقع الضارة لسرقة بيانات الاعتماد المخزنة في مدير كلمات المرور. ويعتقد تافيس أورماندي أن استغلال الثغرة الأمنية أمر بسيط للغاية، حيث يمكن للمهاجمين إخفاء رابط ضار، وخداع المستخدم للنقر عليه لسرقة بيانات الاعتماد التي تم إدخالها في الموقع السابق.
لا يعلق ممثلو LastPass على هذا الموقف. في الوقت الحالي، لا توجد حالات معروفة تم فيها استخدام هذه الثغرة الأمنية من قبل المهاجمين.
المصدر: 3dnews.ru