Minulý týden vývojáři oblíbeného správce hesel LastPass vydali aktualizaci, která opravuje zranitelnost, která by mohla vést k úniku uživatelských dat. Problém byl oznámen poté, co byl vyřešen a uživatelům LastPass bylo doporučeno aktualizovat správce hesel na nejnovější verzi.
Hovoříme o zranitelnosti, kterou by útočníci mohli využít k odcizení dat zadaných uživatelem na poslední navštívené webové stránce. Problém objevil minulý měsíc Tavis Ormandy, člen projektu Google Project Zero, který provádí výzkum v oblasti informační bezpečnosti.
LastPass je v současnosti nejoblíbenější správce hesel. Vývojáři opravili dříve zmíněnou zranitelnost ve verzi 4.33.0, která se stala veřejně dostupnou 12. září. Pokud uživatelé nepoužívají funkci automatické aktualizace LastPass, doporučuje se, aby si ručně stáhli nejnovější verzi softwaru. To je potřeba udělat co nejrychleji, protože po opravě zranitelnosti výzkumníci zveřejnili její detaily, které mohou útočníci využít k odcizení hesel ze zařízení, na kterých aplikace ještě nebyla aktualizována.
Využití této chyby zabezpečení zahrnuje spuštění škodlivého kódu JavaScript na cílovém zařízení bez jakékoli interakce uživatele. Útočníci mohou lákat uživatele na škodlivé stránky, aby ukradli přihlašovací údaje uložené ve správci hesel. Tavis Ormandy věří, že zneužití zranitelnosti je poměrně jednoduché, protože útočníci mohou zamaskovat škodlivý odkaz a přimět uživatele, aby na něj klikl a ukradl přihlašovací údaje zadané na předchozím webu.
Zástupci LastPass tuto situaci nekomentují. V tuto chvíli nejsou známy žádné případy, kdy by tuto chybu zabezpečení útočníci využili.
Zdroj: 3dnews.ru