LastPass поправи уязвимост, която може да доведе до изтичане на данни

Миналата седмица разработчиците на популярния мениджър на пароли LastPass пуснаха актуализация, която коригира уязвимост, която може да доведе до изтичане на потребителски данни. Проблемът беше обявен, след като беше разрешен и потребителите на LastPass бяха посъветвани да актуализират своя мениджър на пароли до най-новата версия.

Говорим за уязвимост, която може да бъде използвана от нападателите за кражба на данни, въведени от потребителя на последния посетен уебсайт. Проблемът беше открит миналия месец от Тавис Орманди, член на проекта Google Project Zero, който провежда изследвания в областта на информационната сигурност.  

LastPass в момента е най-популярният мениджър на пароли. Разработчиците поправиха споменатата по-рано уязвимост във версия 4.33.0, която стана публично достъпна на 12 септември. Ако потребителите не използват функцията за автоматично актуализиране на LastPass, те се съветват да изтеглят ръчно най-новата версия на софтуера. Това трябва да стане възможно най-бързо, тъй като след коригирането на уязвимостта изследователите публикуваха нейните подробности, които могат да бъдат използвани от нападателите за кражба на пароли от устройства, на които приложението все още не е актуализирано.

Експлоатацията на уязвимостта включва изпълнението на злонамерен JavaScript код на целевото устройство, без никакво взаимодействие с потребителя. Нападателите могат да привлекат потребителите към злонамерени сайтове, за да откраднат идентификационни данни, съхранявани в мениджър на пароли. Tavis Ormandy вярва, че използването на уязвимостта е доста лесно, тъй като нападателите могат да прикрият злонамерена връзка, като подмамят потребителя да кликне върху нея, за да открадне идентификационните данни, въведени на предишния сайт.

Представителите на LastPass не коментират тази ситуация. В момента няма известни случаи, когато тази уязвимост е била използвана от нападатели.

Източник: 3dnews.ru