Ferline wike hawwe de ûntwikkelders fan 'e populêre wachtwurdbehearder LastPass in update frijlitten dy't in kwetsberens reparearret dy't kin liede ta it lek fan brûkersgegevens. It probleem waard oankundige nei't it waard oplost en LastPass-brûkers waarden advisearre om har wachtwurdbehearder te aktualisearjen nei de lêste ferzje.
Wy prate oer in kwetsberens dy't koe wurde brûkt troch oanfallers om gegevens te stellen dy't troch de brûker ynfierd binne op 'e lêste besochte webside. It probleem waard ferline moanne ûntdutsen troch Tavis Ormandy, lid fan it Google Project Zero-projekt, dat ûndersyk docht op it mêd fan ynformaasjefeiligens.
LastPass is op it stuit de populêrste wachtwurdbehearder. De ûntwikkelders reparearje de earder neamde kwetsberens yn ferzje 4.33.0, dy't op 12 septimber iepenbier beskikber waard. As brûkers de automatyske updatefunksje fan LastPass net brûke, wurde se advisearre om de lêste ferzje fan 'e software manuell te downloaden. Dit moat sa gau mooglik dien wurde, om't nei it reparearjen fan 'e kwetsberens, ûndersikers har details publisearren, dy't brûkt wurde kinne troch oanfallers om wachtwurden te stellen fan apparaten wêrop de applikaasje noch net bywurke is.
Eksploitaasje fan 'e kwetsberens omfettet it útfieren fan kweade JavaScript-koade op it doelapparaat, sûnder brûkersynteraksje. Oanfallers kinne brûkers lûke nei kweade siden om bewiisbrieven te stellen opslein yn in wachtwurdbehearder. Tavis Ormandy is fan betinken dat it eksploitearjen fan de kwetsberens frij ienfâldich is, om't oanfallers in kweade kepling kinne ferklaaie, de brûker ferrifelje om derop te klikken om de bewiisbrieven te stellen dy't op 'e foarige side waarden ynfierd.
Fertsjintwurdigers fan LastPass jouwe gjin kommentaar oer dizze situaasje. Op it stuit binne d'r gjin gefallen bekend wêr't dizze kwetsberens waard brûkt troch oanfallers.
Boarne: 3dnews.ru