La semaine dernière, les développeurs du célèbre gestionnaire de mots de passe LastPass ont publié une mise à jour qui corrige une vulnérabilité pouvant entraîner une fuite de données utilisateur. Le problème a été annoncé après avoir été résolu et il a été conseillé aux utilisateurs de LastPass de mettre à jour leur gestionnaire de mots de passe vers la dernière version.
Nous parlons d'une vulnérabilité qui pourrait être utilisée par des attaquants pour voler les données saisies par l'utilisateur sur le dernier site Web visité. Le problème a été découvert le mois dernier par Tavis Ormandy, membre du projet Google Project Zero, qui mène des recherches dans le domaine de la sécurité de l'information.
LastPass est actuellement le gestionnaire de mots de passe le plus populaire. Les développeurs ont corrigé la vulnérabilité mentionnée précédemment dans la version 4.33.0, devenue publique le 12 septembre. Si les utilisateurs n'utilisent pas la fonction de mise à jour automatique de LastPass, il leur est conseillé de télécharger manuellement la dernière version du logiciel. Cela doit être fait le plus rapidement possible, car après avoir corrigé la vulnérabilité, les chercheurs ont publié ses détails, qui peuvent être utilisés par des attaquants pour voler les mots de passe des appareils sur lesquels l'application n'a pas encore été mise à jour.
L'exploitation de la vulnérabilité implique l'exécution de code JavaScript malveillant sur l'appareil cible, sans aucune interaction de l'utilisateur. Les attaquants peuvent attirer les utilisateurs vers des sites malveillants afin de voler les informations d'identification stockées dans un gestionnaire de mots de passe. Tavis Ormandy estime qu'exploiter cette vulnérabilité est assez simple, puisque les attaquants peuvent dissimuler un lien malveillant, incitant l'utilisateur à cliquer dessus pour voler les informations d'identification saisies sur le site précédent.
Les représentants de LastPass ne commentent pas cette situation. À l’heure actuelle, il n’existe aucun cas connu où cette vulnérabilité ait été utilisée par des attaquants.
Source: 3dnews.ru