An tseachtain seo caite, d'eisigh forbróirí an bhainisteora phasfhocal tóir LastPass nuashonrú a shocraíonn leochaileacht a d'fhéadfadh sceitheadh sonraí úsáideoirí a bheith mar thoradh air. Fógraíodh an cheist tar éis í a réiteach agus moladh d’úsáideoirí LastPass a mbainisteoir pasfhocail a nuashonrú go dtí an leagan is déanaí.
Táimid ag caint faoi leochaileacht a d'fhéadfadh ionsaitheoirí a úsáid chun sonraí a d'iontráil an t-úsáideoir ar an suíomh Gréasáin deireanach ar tugadh cuairt air a ghoid. D'aimsigh Tavis Ormandy, ball de thionscadal Google Project Zero, an fhadhb an mhí seo caite, a dhéanann taighde i réimse na slándála faisnéise.
Is é LastPass an bainisteoir pasfhocail is coitianta faoi láthair. Shocraigh na forbróirí an leochaileacht a luadh cheana i leagan 4.33.0, a bhí ar fáil go poiblí ar 12 Meán Fómhair. Mura n-úsáideann úsáideoirí gné nuashonraithe uathoibríoch LastPass, moltar dóibh an leagan is déanaí de na bogearraí a íoslódáil de láimh. Ní mór é seo a dhéanamh chomh tapa agus is féidir, mar tar éis dóibh an leochaileacht a shocrú, d'fhoilsigh taighdeoirí a sonraí, ar féidir le hionsaitheoirí iad a úsáid chun pasfhocail a ghoid ó fheistí nach bhfuil an feidhmchlár nuashonraithe fós orthu.
Is éard atá i gceist le leas a bhaint as an leochaileacht ná cód mailíseach JavaScript a fhorghníomhú ar an ngléas sprice, gan aon idirghníomhaíocht úsáideora. Is féidir le hionsaitheoirí úsáideoirí a mhealladh chuig suíomhanna mailíseacha chun dintiúir atá stóráilte i mbainisteoir pasfhocail a ghoid. Creideann Tavis Ormandy go bhfuil sé simplí go leor leas a bhaint as an leochaileacht, toisc gur féidir le hionsaitheoirí nasc mailíseach a cheilt, agus an t-úsáideoir a mhealladh chun cliceáil air chun na dintiúir a cuireadh isteach ar an suíomh roimhe seo a ghoid.
Ní thugann ionadaithe LastPas trácht ar an gcás seo. I láthair na huaire, níl aon chásanna aitheanta nuair a d'úsáid ionsaitheoirí an leochaileacht seo.
Foinse: 3dnews.ru