La setmana passada, els desenvolupadors del popular gestor de contrasenyes LastPass van publicar una actualització que soluciona una vulnerabilitat que podria provocar la filtració de dades dels usuaris. El problema es va anunciar després de resoldre's i es va recomanar als usuaris de LastPass que actualitzessin el seu gestor de contrasenyes a la darrera versió.
Estem parlant d'una vulnerabilitat que podria ser utilitzada pels atacants per robar les dades introduïdes per l'usuari a l'últim lloc web visitat. El problema va ser descobert el mes passat per Tavis Ormandy, membre del projecte Google Project Zero, que realitza investigacions en el camp de la seguretat de la informació.
LastPass és actualment el gestor de contrasenyes més popular. Els desenvolupadors van solucionar la vulnerabilitat esmentada anteriorment a la versió 4.33.0, que va estar disponible públicament el 12 de setembre. Si els usuaris no utilitzen la funció d'actualització automàtica de LastPass, se'ls recomana que baixin manualment la darrera versió del programari. Això s'ha de fer el més aviat possible, perquè després de solucionar la vulnerabilitat, els investigadors n'han publicat els detalls, que poden ser utilitzats pels atacants per robar contrasenyes dels dispositius en què l'aplicació encara no s'ha actualitzat.
L'explotació de la vulnerabilitat implica l'execució de codi JavaScript maliciós al dispositiu objectiu, sense cap interacció de l'usuari. Els atacants poden atraure els usuaris a llocs maliciosos per robar les credencials emmagatzemades en un gestor de contrasenyes. Tavis Ormandy creu que explotar la vulnerabilitat és bastant senzill, ja que els atacants poden dissimular un enllaç maliciós, enganyant l'usuari perquè hi faci clic per robar les credencials que es van introduir al lloc anterior.
Els representants de LastPass no comenten aquesta situació. De moment, no es coneixen casos en què aquesta vulnerabilitat hagi estat utilitzada per atacants.
Font: 3dnews.ru