I sidste uge udgav udviklerne af den populære password manager LastPass en opdatering, der retter en sårbarhed, der kan føre til læk af brugerdata. Problemet blev annonceret, efter at det var løst, og LastPass-brugere blev rådet til at opdatere deres password manager til den nyeste version.
Vi taler om en sårbarhed, der kunne bruges af angribere til at stjæle data indtastet af brugeren på det seneste besøgte websted. Problemet blev opdaget i sidste måned af Tavis Ormandy, medlem af Google Project Zero-projektet, som forsker inden for informationssikkerhed.
LastPass er i øjeblikket den mest populære password manager. Udviklerne rettede den tidligere nævnte sårbarhed i version 4.33.0, som blev offentligt tilgængelig den 12. september. Hvis brugere ikke bruger LastPass's automatiske opdateringsfunktion, rådes de til manuelt at downloade den seneste version af softwaren. Dette skal gøres så hurtigt som muligt, for efter at have rettet sårbarheden offentliggjorde forskere dens detaljer, som kan bruges af angribere til at stjæle adgangskoder fra enheder, hvor applikationen endnu ikke er blevet opdateret.
Udnyttelse af sårbarheden involverer eksekvering af ondsindet JavaScript-kode på målenheden uden brugerinteraktion. Angribere kan lokke brugere til ondsindede websteder for at stjæle legitimationsoplysninger, der er gemt i en adgangskodemanager. Tavis Ormandy mener, at det er ret simpelt at udnytte sårbarheden, da angribere kan skjule et ondsindet link og narre brugeren til at klikke på det for at stjæle de legitimationsoplysninger, der blev indtastet på det forrige websted.
LastPass-repræsentanter kommenterer ikke denne situation. I øjeblikket er der ingen kendte tilfælde, hvor denne sårbarhed blev brugt af angribere.
Kilde: 3dnews.ru