Την περασμένη εβδομάδα, οι προγραμματιστές του δημοφιλούς διαχειριστή κωδικών πρόσβασης LastPass κυκλοφόρησαν μια ενημέρωση που διορθώνει μια ευπάθεια που θα μπορούσε να οδηγήσει σε διαρροή δεδομένων χρήστη. Το ζήτημα ανακοινώθηκε μετά την επίλυσή του και οι χρήστες του LastPass έλαβαν συμβουλές να ενημερώσουν τον διαχειριστή κωδικών πρόσβασης στην πιο πρόσφατη έκδοση.
Μιλάμε για μια ευπάθεια που θα μπορούσε να χρησιμοποιηθεί από εισβολείς για να κλέψουν δεδομένα που εισήγαγε ο χρήστης στον τελευταίο ιστότοπο που επισκέφτηκε. Το πρόβλημα ανακαλύφθηκε τον περασμένο μήνα από τον Tavis Ormandy, μέλος του έργου Google Project Zero, το οποίο διεξάγει έρευνα στον τομέα της ασφάλειας πληροφοριών.
Το LastPass είναι αυτή τη στιγμή ο πιο δημοφιλής διαχειριστής κωδικών πρόσβασης. Οι προγραμματιστές διόρθωσαν την ευπάθεια που αναφέρθηκε προηγουμένως στην έκδοση 4.33.0, η οποία έγινε δημόσια διαθέσιμη στις 12 Σεπτεμβρίου. Εάν οι χρήστες δεν χρησιμοποιούν τη δυνατότητα αυτόματης ενημέρωσης του LastPass, συνιστάται να πραγματοποιούν μη αυτόματη λήψη της πιο πρόσφατης έκδοσης του λογισμικού. Αυτό πρέπει να γίνει όσο το δυνατόν γρηγορότερα, γιατί μετά την επιδιόρθωση της ευπάθειας, οι ερευνητές δημοσίευσαν τα στοιχεία της, τα οποία μπορούν να χρησιμοποιηθούν από εισβολείς για να κλέψουν κωδικούς πρόσβασης από συσκευές στις οποίες η εφαρμογή δεν έχει ακόμη ενημερωθεί.
Η εκμετάλλευση της ευπάθειας περιλαμβάνει την εκτέλεση κακόβουλου κώδικα JavaScript στη συσκευή προορισμού, χωρίς καμία αλληλεπίδραση με τον χρήστη. Οι εισβολείς μπορούν να παρασύρουν τους χρήστες σε κακόβουλους ιστότοπους προκειμένου να κλέψουν διαπιστευτήρια που είναι αποθηκευμένα σε έναν διαχειριστή κωδικών πρόσβασης. Ο Tavis Ormandy πιστεύει ότι η εκμετάλλευση της ευπάθειας είναι αρκετά απλή, καθώς οι εισβολείς μπορούν να συγκαλύψουν έναν κακόβουλο σύνδεσμο, ξεγελώντας τον χρήστη να κάνει κλικ σε αυτόν για να κλέψει τα διαπιστευτήρια που είχαν εισαχθεί στον προηγούμενο ιστότοπο.
Οι εκπρόσωποι του LastPass δεν σχολιάζουν αυτή την κατάσταση. Προς το παρόν, δεν υπάρχουν γνωστές περιπτώσεις όπου αυτή η ευπάθεια χρησιμοποιήθηκε από επιτιθέμενους.
Πηγή: 3dnews.ru