На мінулым тыдні распрацоўнікі папулярнага мэнэджара пароляў LastPass выпусцілі абнаўленне, ухіляючае ўразлівасць, якая магла прывесці да ўцечкі карыстацкіх дадзеных. Аб праблеме было абвешчана пасля таго, як яна была вырашана, а карыстачам LastPass рэкамендавана абнавіць мэнэджар пароляў да апошняй версіі.
Гаворка ідзе аб уразлівасці, выкарыстоўваючы якую зламыснікі маглі выкрасці дадзеныя, уведзеныя карыстачом на апошнім наведаным вэб-сайце. Праблему ў мінулым месяцы выявіў Тавіс Армандзі (Tavis Ormandy), які з'яўляецца ўдзельнікам праекта Google Project Zero, у рамках якога праходзяць даследаванні ў сферы інфармацыйнай бяспекі.
У наш час LastPass з'яўляецца самым папулярным мэнэджэрам пароляў. Распрацоўнікі ўхілілі згаданую раней уразлівасць у версіі 4.33.0, якая з'явілася ў адчыненым доступе 12 верасня. Калі карыстачы не выкарыстоўваюць функцыю аўтаматычнага абнаўлення LastPass, то ім рэкамендуецца спампаваць актуальную версію ПЗ уручную. Зрабіць гэта трэба як мага хутчэй, паколькі пасля выпраўлення ўразлівасці даследнікі апублікавалі яе падрабязнасці, якія могуць выкарыстоўвацца зламыснікамі для крадзяжу пароляў з прылад, на якіх прыкладанне яшчэ не было абноўлена.
Эксплуатацыя ўразлівасці злучана з выкананнем шкоднаснага кода JavaScript на мэтавай прыладзе, без якога-небудзь узаемадзеяння з карыстачом. Зламыснікі могуць завабліваць карыстальнікаў на шкоднасныя сайты з мэтай выкрадання ўліковых дадзеных, якія захоўваюцца ў мэнэджары пароляў. Тавіс Армандзі лічыць, што выкарыстоўваць уразлівасць дастаткова проста, паколькі зламыснікі могуць замаскіраваць шкоднасную спасылку, падманам прымусіўшы карыстальніка перайсці па ёй для крадзяжу уліковых дадзеных, якія былі ўведзеныя на папярэднім сайце.
Прадстаўнікі LastPass не каментуюць дадзеную сітуацыю. На дадзены момант невядома пра выпадкі, калі дадзеная ўразлівасць выкарыстоўвалася зламыснікамі.
Крыніца: 3dnews.ru