Keçən həftə məşhur parol meneceri LastPass-ın tərtibatçıları istifadəçi məlumatlarının sızmasına səbəb ola biləcək zəifliyi aradan qaldıran yeniləmə buraxdılar. Problem həll edildikdən sonra elan edildi və LastPass istifadəçilərinə parol menecerini ən son versiyaya yeniləmələri tövsiyə edildi.
Söhbət təcavüzkarların istifadəçinin sonuncu ziyarət etdiyi veb-saytda daxil etdiyi məlumatları oğurlamaq üçün istifadə edə biləcəyi zəiflikdən gedir. Problemi ötən ay informasiya təhlükəsizliyi sahəsində araşdırmalar aparan Google Project Zero layihəsinin üzvü Tavis Ormandy aşkar edib.
LastPass hazırda ən populyar parol meneceridir. Tərtibatçılar əvvəllər qeyd olunan zəifliyi sentyabrın 4.33.0-də ictimaiyyətə açıq olan 12 versiyasında düzəldiblər. Əgər istifadəçilər LastPass-ın avtomatik yeniləmə funksiyasından istifadə etmirlərsə, onlara proqram təminatının ən son versiyasını əl ilə yükləmələri tövsiyə olunur. Bunu mümkün qədər tez etmək lazımdır, çünki zəifliyi aradan qaldırdıqdan sonra tədqiqatçılar onun təfərrüatlarını dərc ediblər ki, bu da təcavüzkarlar tərəfindən tətbiqin hələ yenilənməmiş cihazlardan parolları oğurlamaq üçün istifadə oluna bilər.
Boşluğun istismarı heç bir istifadəçi əlaqəsi olmadan hədəf cihazda zərərli JavaScript kodunun icrasını nəzərdə tutur. Təcavüzkarlar parol menecerində saxlanılan etimadnamələri oğurlamaq üçün istifadəçiləri zərərli saytlara cəlb edə bilər. Tavis Ormandy hesab edir ki, zəiflikdən istifadə etmək olduqca sadədir, çünki təcavüzkarlar əvvəlki sayta daxil edilmiş etimadnamələri oğurlamaq üçün istifadəçini aldadaraq zərərli linki maskalaya bilər.
LastPass nümayəndələri bu vəziyyəti şərh etmirlər. Hazırda bu zəifliyin təcavüzkarlar tərəfindən istifadə edildiyi məlum hallar yoxdur.
Mənbə: 3dnews.ru