Prošle sedmice su programeri popularnog menadžera lozinki LastPass objavili ažuriranje koje popravlja ranjivost koja bi mogla dovesti do curenja korisničkih podataka. Problem je najavljen nakon što je riješen, a korisnicima LastPass-a je savjetovano da ažuriraju svoj upravitelj lozinki na najnoviju verziju.
Riječ je o ranjivosti koju bi napadači mogli iskoristiti za krađu podataka koje je korisnik unio na posljednjoj posjećenoj web stranici. Problem je prošlog mjeseca otkrio Tavis Ormandy, član projekta Google Project Zero, koji provodi istraživanja u oblasti informacione sigurnosti.
LastPass je trenutno najpopularniji menadžer lozinki. Programeri su popravili prethodno spomenutu ranjivost u verziji 4.33.0, koja je postala javno dostupna 12. septembra. Ako korisnici ne koriste LastPass-ovu funkciju automatskog ažuriranja, savjetuje im se da ručno preuzmu najnoviju verziju softvera. To je potrebno učiniti što je brže moguće, jer su nakon otklanjanja ranjivosti istraživači objavili njene detalje, koje napadači mogu koristiti za krađu lozinki sa uređaja na kojima aplikacija još nije ažurirana.
Iskorištavanje ranjivosti uključuje izvršavanje zlonamjernog JavaScript koda na ciljnom uređaju, bez ikakve interakcije korisnika. Napadači mogu namamiti korisnike na zlonamjerne stranice kako bi ukrali vjerodajnice pohranjene u upravitelju lozinki. Tavis Ormandy vjeruje da je iskorištavanje ranjivosti prilično jednostavno, budući da napadači mogu prikriti zlonamjernu vezu, navodeći korisnika da klikne na nju kako bi ukrao vjerodajnice koje su unesene na prethodnoj stranici.
Predstavnici LastPass-a ne komentarišu ovu situaciju. Trenutno nema poznatih slučajeva da su napadači koristili ovu ranjivost.
izvor: 3dnews.ru