هفته گذشته، توسعه دهندگان مدیریت رمز عبور محبوب LastPass به روز رسانی را منتشر کردند که آسیب پذیری را برطرف می کند که می تواند منجر به نشت اطلاعات کاربر شود. این مشکل پس از رفع آن اعلام شد و به کاربران LastPass توصیه شد تا مدیر رمز عبور خود را به آخرین نسخه به روز کنند.
ما در مورد آسیب پذیری صحبت می کنیم که می تواند توسط مهاجمان برای سرقت داده های وارد شده توسط کاربر در آخرین وب سایت بازدید شده مورد استفاده قرار گیرد. این مشکل ماه گذشته توسط Tavis Ormandy، یکی از اعضای پروژه Google Project Zero که در زمینه امنیت اطلاعات تحقیقاتی انجام می دهد، کشف شد.
LastPass در حال حاضر محبوب ترین مدیر رمز عبور است. توسعه دهندگان آسیب پذیری ذکر شده قبلی را در نسخه 4.33.0 برطرف کردند که در 12 سپتامبر در دسترس عموم قرار گرفت. اگر کاربران از ویژگی به روز رسانی خودکار LastPass استفاده نمی کنند، به آنها توصیه می شود که آخرین نسخه نرم افزار را به صورت دستی دانلود کنند. این باید در اسرع وقت انجام شود، زیرا پس از رفع آسیب پذیری، محققان جزئیات آن را منتشر کردند که مهاجمان می توانند از آن برای سرقت رمزهای عبور از دستگاه هایی استفاده کنند که برنامه هنوز به روز نشده است.
بهره برداری از این آسیب پذیری شامل اجرای کدهای مخرب جاوا اسکریپت بر روی دستگاه مورد نظر، بدون هیچ گونه تعامل کاربر است. مهاجمان می توانند کاربران را به سمت سایت های مخرب فریب دهند تا اعتبار ذخیره شده در یک مدیر رمز عبور را سرقت کنند. Tavis Ormandy معتقد است که بهره برداری از این آسیب پذیری بسیار ساده است، زیرا مهاجمان می توانند یک پیوند مخرب را پنهان کنند و کاربر را فریب دهند تا بر روی آن کلیک کند تا اعتبار وارد شده در سایت قبلی را بدزدد.
نمایندگان LastPass در مورد این وضعیت اظهار نظر نمی کنند. در حال حاضر هیچ مورد شناخته شده ای وجود ندارد که از این آسیب پذیری توسط مهاجمان استفاده شده باشد.
منبع: 3dnews.ru