Viime viikolla suositun salasanojen hallinnan LastPass kehittäjät julkaisivat päivityksen, joka korjaa haavoittuvuuden, joka voi johtaa käyttäjätietojen vuotamiseen. Ongelma ilmoitettiin sen jälkeen, kun se oli ratkaistu, ja LastPass-käyttäjiä kehotettiin päivittämään salasananhallintansa uusimpaan versioon.
Puhumme haavoittuvuudesta, jota hyökkääjät voivat käyttää varastaakseen käyttäjän viimeksi vieraillulle verkkosivustolle syöttämiä tietoja. Ongelman havaitsi viime kuussa tietoturva-alan tutkimusta tekevän Google Project Zero -projektin jäsen Tavis Ormandy.
LastPass on tällä hetkellä suosituin salasananhallinta. Kehittäjät korjasivat aiemmin mainitun haavoittuvuuden versiossa 4.33.0, joka tuli julkisesti saataville 12. syyskuuta. Jos käyttäjät eivät käytä LastPassin automaattista päivitysominaisuutta, heitä kehotetaan lataamaan ohjelmiston uusin versio manuaalisesti. Tämä on tehtävä mahdollisimman nopeasti, sillä haavoittuvuuden korjaamisen jälkeen tutkijat julkaisivat sen tiedot, joiden avulla hyökkääjät voivat varastaa salasanoja laitteista, joissa sovellusta ei ole vielä päivitetty.
Haavoittuvuuden hyödyntäminen sisältää haitallisen JavaScript-koodin suorittamisen kohdelaitteella ilman käyttäjän toimia. Hyökkääjät voivat houkutella käyttäjiä haitallisille sivustoille varastaakseen salasanan hallintaan tallennetut tunnistetiedot. Tavis Ormandy uskoo, että haavoittuvuuden hyödyntäminen on melko yksinkertaista, koska hyökkääjät voivat peittää haitallisen linkin ja huijata käyttäjän napsauttamaan sitä ja varastamaan edellisellä sivustolla annetut tunnistetiedot.
LastPassin edustajat eivät kommentoi tilannetta. Tällä hetkellä ei ole tiedossa tapauksia, joissa hyökkääjät olisivat käyttäneet tätä haavoittuvuutta.
Lähde: 3dnews.ru