Pasintsemajne, la programistoj de la populara pasvortmanaĝero LastPass publikigis ĝisdatigon, kiu riparas vundeblecon, kiu povus konduki al liko de uzantdatenoj. La problemo estis anoncita post kiam ĝi estis solvita kaj la uzantoj de LastPass estis konsilitaj ĝisdatigi sian pasvortmanaĝeron al la plej nova versio.
Ni parolas pri vundebleco, kiu povus esti uzata de atakantoj por ŝteli datumojn enigitajn de la uzanto en la lasta retejo vizitita. La problemo estis malkovrita pasintmonate de Tavis Ormandy, membro de la projekto Google Project Zero, kiu faras esplorojn en la kampo de informa sekureco.
LastPass estas nuntempe la plej populara pasvortmanaĝero. La programistoj riparis la antaŭe menciitan vundeblecon en versio 4.33.0, kiu fariĝis publike havebla la 12-an de septembro. Se uzantoj ne uzas la aŭtomatan ĝisdatigon de LastPass, oni konsilas al ili elŝuti permane la lastan version de la programaro. Ĉi tio devas esti farita kiel eble plej rapide, ĉar post ripari la vundeblecon, esploristoj publikigis ĝiajn detalojn, kiuj povas esti uzataj de atakantoj por ŝteli pasvortojn de aparatoj, sur kiuj la aplikaĵo ankoraŭ ne estis ĝisdatigita.
Ekspluato de la vundebleco implikas la ekzekuton de malica JavaScript-kodo sur la cela aparato, sen iu ajn uzantinterago. Atakantoj povas logi uzantojn al malicaj retejoj por ŝteli akreditaĵojn konservitajn en pasvortmanaĝero. Tavis Ormandy opinias, ke ekspluatado de la vundebleco estas sufiĉe simpla, ĉar atakantoj povas kaŝvesti malican ligon, trompante la uzanton klaki sur ĝi por ŝteli la akreditaĵojn enigitajn en la antaŭa retejo.
Reprezentantoj de LastPass ne komentas ĉi tiun situacion. Nuntempe ne estas konataj kazoj, kie ĉi tiu vundebleco estis uzata de atakantoj.
fonto: 3dnews.ru