A múlt héten a népszerű LastPass jelszókezelő fejlesztői kiadtak egy frissítést, amely egy felhasználói adatok kiszivárgásához vezethető biztonsági rést javít. A problémát azután jelentették be, hogy megoldódott, és a LastPass felhasználóknak azt tanácsolták, hogy frissítsék jelszókezelőjüket a legújabb verzióra.
Egy sebezhetőségről beszélünk, amelyet a támadók arra használhatnak, hogy ellopják a felhasználó által a legutóbb felkeresett webhelyen bevitt adatokat. A problémát a múlt hónapban fedezte fel Tavis Ormandy, az információbiztonság területén kutatásokat végző Google Project Zero projekt tagja.
A LastPass jelenleg a legnépszerűbb jelszókezelő. A fejlesztők a korábban említett biztonsági rést a 4.33.0-s verzióban javították ki, amely szeptember 12-én vált nyilvánossá. Ha a felhasználók nem használják a LastPass automatikus frissítési funkcióját, javasoljuk, hogy manuálisan töltsék le a szoftver legújabb verzióját. Ezt a lehető leggyorsabban meg kell tenni, mert a sérülékenység kijavítása után a kutatók nyilvánosságra hozták annak részleteit, amelyek segítségével a támadók jelszavakat lophatnak el olyan eszközökről, amelyeken még nem frissítették az alkalmazást.
A sérülékenység kihasználása magában foglalja a rosszindulatú JavaScript-kód futtatását a céleszközön, felhasználói beavatkozás nélkül. A támadók rosszindulatú webhelyekre csalhatják a felhasználókat, hogy ellopják a jelszókezelőben tárolt hitelesítő adatokat. Tavis Ormandy úgy véli, hogy a sérülékenység kihasználása meglehetősen egyszerű, mivel a támadók elrejthetnek egy rosszindulatú hivatkozást, és rávehetik a felhasználót, hogy rákattintson, és ezzel ellopja az előző oldalon megadott hitelesítő adatokat.
A LastPass képviselői nem kommentálják ezt a helyzetet. Jelenleg nem ismert olyan eset, amikor támadók használták volna ezt a biztonsági rést.
Forrás: 3dnews.ru