Eelmisel nädalal andsid populaarse paroolihalduri LastPass arendajad välja uuenduse, mis parandab haavatavuse, mis võib viia kasutajaandmete lekkimiseni. Probleem teatati pärast selle lahendamist ja LastPassi kasutajatel soovitati värskendada oma paroolihaldur uusimale versioonile.
Me räägime haavatavusest, mida ründajad võivad kasutada kasutaja poolt viimasel külastatud veebisaidil sisestatud andmete varastamiseks. Probleemi avastas eelmisel kuul infoturbe valdkonna uuringuid tegeva projekti Google Project Zero liige Tavis Ormandy.
LastPass on praegu kõige populaarsem paroolihaldur. Arendajad parandasid varem mainitud haavatavuse versioonis 4.33.0, mis sai avalikult kättesaadavaks 12. septembril. Kui kasutajad ei kasuta LastPassi automaatse värskenduse funktsiooni, soovitatakse neil tarkvara uusim versioon käsitsi alla laadida. Seda tuleb teha võimalikult kiiresti, sest pärast haavatavuse parandamist avaldasid teadlased selle andmed, mille abil saavad ründajad varastada paroole seadmetelt, mille rakendust pole veel uuendatud.
Haavatavuse ärakasutamine hõlmab pahatahtliku JavaScripti koodi käivitamist sihtseadmes ilma kasutaja sekkumiseta. Ründajad võivad meelitada kasutajaid pahatahtlikele saitidele, et varastada paroolihaldurisse salvestatud mandaate. Tavis Ormandy usub, et haavatavuse ärakasutamine on üsna lihtne, kuna ründajad võivad varjata pahatahtliku lingi, meelitades kasutajat sellel klõpsama, et varastada eelmisel saidil sisestatud mandaadid.
LastPassi esindajad seda olukorda ei kommenteeri. Hetkel pole teada juhtumeid, kus ründajad oleks seda haavatavust kasutanud.
Allikas: 3dnews.ru