Անցյալ շաբաթ հայտնի գաղտնաբառերի կառավարիչ LastPass-ի մշակողները թողարկել են թարմացում, որը շտկում է խոցելիությունը, որը կարող է հանգեցնել օգտատերի տվյալների արտահոսքի: Խնդիրը հայտարարվել է այն լուծվելուց հետո, և LastPass-ի օգտատերերին խորհուրդ է տրվել թարմացնել իրենց գաղտնաբառերի կառավարիչը վերջին տարբերակին:
Մենք խոսում ենք խոցելիության մասին, որը կարող է օգտագործվել հարձակվողների կողմից՝ վերջին այցելած վեբկայքում օգտատիրոջ մուտքագրած տվյալները գողանալու համար: Խնդիրը անցյալ ամիս հայտնաբերել է Google Project Zero նախագծի անդամ Թևիս Օրմանդին, որը հետազոտություններ է իրականացնում տեղեկատվական անվտանգության ոլորտում։
LastPass-ը ներկայումս ամենահայտնի գաղտնաբառերի կառավարիչն է: Մշակողները շտկել են նախկինում նշված խոցելիությունը 4.33.0 տարբերակում, որը հանրությանը հասանելի դարձավ սեպտեմբերի 12-ին։ Եթե օգտվողները չեն օգտագործում LastPass-ի ավտոմատ թարմացման հնարավորությունը, նրանց խորհուրդ է տրվում ձեռքով ներբեռնել ծրագրաշարի վերջին տարբերակը: Սա պետք է արվի հնարավորինս արագ, քանի որ խոցելիությունը շտկելուց հետո հետազոտողները հրապարակել են դրա մանրամասները, որոնք հարձակվողները կարող են օգտագործել գաղտնաբառերը գողանալու սարքերից, որոնց վրա հավելվածը դեռևս չի թարմացվել:
Խոցելիության շահագործումը ներառում է թիրախային սարքի վրա վնասակար JavaScript կոդի գործարկում՝ առանց օգտատիրոջ որևէ փոխազդեցության: Հարձակվողները կարող են օգտատերերին գայթակղել դեպի վնասակար կայքեր, որպեսզի գողանան գաղտնաբառերի կառավարիչում պահված հավատարմագրերը: Թևիս Օրմանդին կարծում է, որ խոցելիությունը օգտագործելը բավականին պարզ է, քանի որ հարձակվողները կարող են քողարկել վնասակար հղումը՝ խաբելով օգտատիրոջը սեղմելով դրա վրա՝ գողանալու նախորդ կայքում մուտքագրված հավատարմագրերը:
LastPass-ի ներկայացուցիչները չեն մեկնաբանում այս իրավիճակը: Այս պահին հայտնի չեն դեպքեր, երբ այս խոցելիությունը օգտագործվել է հարձակվողների կողմից։
Source: 3dnews.ru