Yr wythnos diwethaf, rhyddhaodd datblygwyr y rheolwr cyfrinair poblogaidd LastPass ddiweddariad sy'n trwsio bregusrwydd a allai arwain at ollwng data defnyddwyr. Cyhoeddwyd y mater ar ôl iddo gael ei ddatrys a chynghorwyd defnyddwyr LastPass i ddiweddaru eu rheolwr cyfrinair i'r fersiwn diweddaraf.
Rydym yn sôn am fregusrwydd y gallai ymosodwyr ei ddefnyddio i ddwyn data a gofnodwyd gan y defnyddiwr ar y wefan ddiwethaf yr ymwelwyd â hi. Darganfuwyd y broblem fis diwethaf gan Tavis Ormandy, aelod o brosiect Google Project Zero, sy'n cynnal ymchwil ym maes diogelwch gwybodaeth.
LastPass yw'r rheolwr cyfrinair mwyaf poblogaidd ar hyn o bryd. Gosododd y datblygwyr y bregusrwydd a grybwyllwyd yn flaenorol yn fersiwn 4.33.0, a ddaeth ar gael i'r cyhoedd ar Fedi 12. Os nad yw defnyddwyr yn defnyddio nodwedd diweddaru awtomatig LastPass, fe'u cynghorir i lawrlwytho'r fersiwn ddiweddaraf o'r feddalwedd â llaw. Mae angen gwneud hyn cyn gynted â phosibl, oherwydd ar ôl trwsio'r bregusrwydd, cyhoeddodd ymchwilwyr ei fanylion, y gellir eu defnyddio gan ymosodwyr i ddwyn cyfrineiriau o ddyfeisiau nad yw'r rhaglen wedi'i diweddaru eto.
Mae manteisio ar y bregusrwydd yn golygu gweithredu cod JavaScript maleisus ar y ddyfais darged, heb unrhyw ryngweithio defnyddiwr. Gall ymosodwyr ddenu defnyddwyr i wefannau maleisus er mwyn dwyn tystlythyrau sydd wedi'u storio mewn rheolwr cyfrinair. Mae Tavis Ormandy yn credu bod ecsbloetio'r bregusrwydd yn eithaf syml, gan y gall ymosodwyr guddio cyswllt maleisus, gan dwyllo'r defnyddiwr i glicio arno i ddwyn y tystlythyrau a roddwyd ar y wefan flaenorol.
Nid yw cynrychiolwyr LastPass yn gwneud sylwadau ar y sefyllfa hon. Ar hyn o bryd, nid oes unrhyw achosion hysbys lle defnyddiwyd y bregusrwydd hwn gan ymosodwyr.
Ffynhonnell: 3dnewyddion.ru