Joan den astean, LastPass pasahitz kudeatzaile ezagunaren garatzaileek eguneraketa bat kaleratu zuten, erabiltzailearen datuen ihesa ekar dezakeen ahultasun bat konpontzen duena. Arazoa konpondu ondoren jakinarazi zen eta LastPass-eko erabiltzaileei pasahitzen kudeatzailea azken bertsiora eguneratzeko gomendatu zitzaien.
Erasotzaileek bisitatutako azken webgunean erabiltzaileak sartutako datuak lapurtzeko erabil dezaketen ahultasun bati buruz ari gara. Arazoa joan den hilabetean aurkitu zuen Tavis Ormandyk, informazioaren segurtasunaren alorrean ikerketak egiten dituen Google Project Zero proiektuko kideak.
LastPass da gaur egun pasahitzen kudeatzaile ezagunena. Garatzaileek lehen aipatutako ahultasuna 4.33.0 bertsioan konpondu zuten, publikoki eskuragarri egon zen irailaren 12an. Erabiltzaileek ez badute LastPass-en eguneratze automatikoko funtzioa erabiltzen, softwarearen azken bertsioa eskuz deskargatzea gomendatzen zaie. Hori ahalik eta azkarren egin behar da, izan ere, ahultasuna konpondu ondoren, ikertzaileek haren xehetasunak argitaratu dituzte, erasotzaileek aplikazioa oraindik eguneratu ez duten gailuetatik pasahitzak lapurtzeko erabil ditzaketenak.
Ahultasuna ustiatzeak JavaScript kode gaiztoa exekutatzen du xede gailuan, erabiltzaileen inolako interakziorik gabe. Erasotzaileek erabiltzaileak gune maltzuretara erakar ditzakete pasahitz-kudeatzaile batean gordetako kredentzialak lapurtzeko. Tavis Ormandyren ustez, ahultasuna ustiatzea nahiko erraza da, erasotzaileek esteka gaizto bat ezkuta dezaketelako, erabiltzailea engainatuz bertan klika dezan aurreko gunean sartutako kredentzialak lapurtzeko.
LastPasseko ordezkariek ez dute egoera honi buruzko iritzirik ematen. Momentuz, ez dago ahultasun hori erasotzaileek erabili duten kasurik ezagutzen.
Iturria: 3dnews.ru