An t-seachdain sa chaidh, chuir luchd-leasachaidh a ’mhanaidsear facal-faire mòr-chòrdte LastPass a-mach ùrachadh a shocraicheas so-leòntachd a dh’ fhaodadh leantainn gu aodion dàta luchd-cleachdaidh. Chaidh a’ chùis ainmeachadh às deidh dha a bhith air a rèiteach agus chaidh comhairle a thoirt do luchd-cleachdaidh LastPass am manaidsear facal-faire aca ùrachadh chun dreach as ùire.
Tha sinn a’ bruidhinn mu dheidhinn so-leòntachd a dh’ fhaodadh luchd-ionnsaigh a chleachdadh gus dàta a chuir an neach-cleachdaidh a-steach air an làrach-lìn mu dheireadh air an deach tadhal. Chaidh an duilgheadas a lorg air a’ mhìos a chaidh le Tavis Ormandy, ball de phròiseact Google Project Zero, a bhios a’ dèanamh rannsachadh ann an raon tèarainteachd fiosrachaidh.
Is e LastPass am manaidsear facal-faire as mòr-chòrdte an-dràsta. Shuidhich an luchd-leasachaidh an so-leòntachd a chaidh ainmeachadh roimhe ann an dreach 4.33.0, a bha ri fhaighinn gu poblach air 12 Sultain. Mura cleachd luchd-cleachdaidh am feart ùrachadh fèin-ghluasadach LastPass, thathas a’ moladh dhaibh an dreach as ùire den bhathar-bog a luchdachadh sìos le làimh. Feumar seo a dhèanamh cho luath ‘s a ghabhas, oir às deidh dhaibh an so-leòntachd a chàradh, dh’ fhoillsich an luchd-rannsachaidh am mion-fhiosrachadh, a dh’ fhaodas luchd-ionnsaigh a chleachdadh gus faclan-faire a ghoid bho innealan air nach deach an tagradh ùrachadh fhathast.
Tha cleachdadh so-leòntachd a’ toirt a-steach cur an gnìomh còd JavaScript droch-rùnach air an inneal targaid, gun eadar-obrachadh cleachdaiche sam bith. Faodaidh luchd-ionnsaigh luchd-cleachdaidh a thàladh gu làraich droch-rùnach gus teisteanasan a tha air an stòradh ann am manaidsear facal-faire a ghoid. Tha Tavis Ormandy den bheachd gu bheil e gu math sìmplidh brath a ghabhail air so-leòntachd, oir faodaidh luchd-ionnsaigh ceangal droch-rùnach a chuir am falach, a’ toirt air an neach-cleachdaidh cliogadh air gus na teisteanasan a chaidh a chuir a-steach air an làrach roimhe a ghoid.
Chan eil riochdairean LastPass a’ toirt beachd air an t-suidheachadh seo. Aig an àm seo, chan eil cùisean aithnichte far an deach an so-leòntachd seo a chleachdadh le luchd-ionnsaigh.
Source: 3d naidheachdan.ru