La semana pasada, los desarrolladores del popular administrador de contraseñas LastPass lanzaron una actualización que corrige una vulnerabilidad que podría provocar la filtración de datos del usuario. El problema se anunció después de que se resolvió y se recomendó a los usuarios de LastPass que actualizaran su administrador de contraseñas a la última versión.
Estamos hablando de una vulnerabilidad que podría ser aprovechada por atacantes para robar datos introducidos por el usuario en el último sitio web visitado. El problema fue descubierto el mes pasado por Tavis Ormandy, miembro del proyecto Google Project Zero, que realiza investigaciones en el campo de la seguridad de la información.
LastPass es actualmente el administrador de contraseñas más popular. Los desarrolladores solucionaron la vulnerabilidad mencionada anteriormente en la versión 4.33.0, que estuvo disponible públicamente el 12 de septiembre. Si los usuarios no utilizan la función de actualización automática de LastPass, se les recomienda descargar manualmente la última versión del software. Esto debe hacerse lo más rápido posible, porque después de corregir la vulnerabilidad, los investigadores publicaron sus detalles, que los atacantes pueden utilizar para robar contraseñas de dispositivos en los que la aplicación aún no se ha actualizado.
La explotación de la vulnerabilidad implica la ejecución de código JavaScript malicioso en el dispositivo de destino, sin ninguna interacción del usuario. Los atacantes pueden atraer a los usuarios a sitios maliciosos para robar las credenciales almacenadas en un administrador de contraseñas. Tavis Ormandy cree que explotar la vulnerabilidad es bastante simple, ya que los atacantes pueden disfrazar un enlace malicioso, engañando al usuario para que haga clic en él y robe las credenciales ingresadas en el sitio anterior.
Los representantes de LastPass no comentan sobre esta situación. Por el momento, no se conocen casos en los que los atacantes hayan utilizado esta vulnerabilidad.
Fuente: 3dnews.ru