A semana pasada, os desenvolvedores do popular xestor de contrasinais LastPass lanzaron unha actualización que corrixe unha vulnerabilidade que podería provocar a filtración de datos dos usuarios. O problema anunciouse despois de que fose resolto e recomendouse aos usuarios de LastPass que actualizaran o seu xestor de contrasinais á última versión.
Estamos a falar dunha vulnerabilidade que podería ser utilizada polos atacantes para roubar os datos introducidos polo usuario no último sitio web visitado. O problema foi descuberto o mes pasado por Tavis Ormandy, membro do proxecto Google Project Zero, que realiza investigacións no campo da seguridade da información.
LastPass é actualmente o xestor de contrasinais máis popular. Os desenvolvedores solucionaron a vulnerabilidade mencionada anteriormente na versión 4.33.0, que quedou dispoñible publicamente o 12 de setembro. Se os usuarios non usan a función de actualización automática de LastPass, recoméndaselles que descarguen manualmente a última versión do software. Isto hai que facelo o máis rápido posible, xa que tras corrixir a vulnerabilidade, os investigadores publicaron os seus detalles, que poden ser utilizados polos atacantes para roubar contrasinais de dispositivos nos que aínda non se actualizou a aplicación.
A explotación da vulnerabilidade implica a execución de código JavaScript malicioso no dispositivo de destino, sen ningunha interacción do usuario. Os atacantes poden atraer aos usuarios a sitios maliciosos para roubar as credenciais almacenadas nun xestor de contrasinais. Tavis Ormandy cre que explotar a vulnerabilidade é bastante sinxelo, xa que os atacantes poden disimular unha ligazón maliciosa, enganando ao usuario para que faga clic nel para roubar as credenciais que foron introducidas no sitio anterior.
Os representantes de LastPass non comentan esta situación. Polo momento, non se coñecen casos nos que esta vulnerabilidade fose utilizada por atacantes.
Fonte: 3dnews.ru