Prošlog su tjedna programeri popularnog upravitelja lozinkama LastPass objavili ažuriranje koje ispravlja ranjivost koja bi mogla dovesti do curenja korisničkih podataka. Problem je najavljen nakon što je riješen, a korisnicima LastPassa savjetovano je da ažuriraju svoj upravitelj lozinki na najnoviju verziju.
Govorimo o ranjivosti koju bi napadači mogli iskoristiti za krađu podataka koje je korisnik unio na zadnjoj posjećenoj web stranici. Problem je prošlog mjeseca otkrio Tavis Ormandy, član projekta Google Project Zero koji se bavi istraživanjem u području informacijske sigurnosti.
LastPass je trenutno najpopularniji upravitelj lozinki. Programeri su popravili prethodno spomenutu ranjivost u verziji 4.33.0, koja je postala javno dostupna 12. rujna. Ako korisnici ne koriste LastPassovu značajku automatskog ažuriranja, savjetuje im se da ručno preuzmu najnoviju verziju softvera. To je potrebno učiniti što je brže moguće jer su nakon otklanjanja ranjivosti istraživači objavili njezine detalje koji napadačima mogu poslužiti za krađu lozinki s uređaja na kojima aplikacija još nije ažurirana.
Iskorištavanje ranjivosti uključuje izvršavanje zlonamjernog JavaScript koda na ciljnom uređaju, bez ikakve interakcije korisnika. Napadači mogu namamiti korisnike na zlonamjerne stranice kako bi ukrali vjerodajnice pohranjene u upravitelju lozinki. Tavis Ormandy vjeruje da je iskorištavanje ranjivosti vrlo jednostavno, budući da napadači mogu prikriti zlonamjernu poveznicu, navodeći korisnika da klikne na nju kako bi ukrali vjerodajnice koje su unesene na prethodnoj stranici.
Predstavnici LastPassa ne komentiraju ovu situaciju. Trenutno nema poznatih slučajeva u kojima su napadači koristili ovu ranjivost.
Izvor: 3dnews.ru