Minggu lalu, pengembang pengelola kata sandi populer LastPass merilis pembaruan yang memperbaiki kerentanan yang dapat menyebabkan kebocoran data pengguna. Masalah ini diumumkan setelah diselesaikan dan pengguna LastPass disarankan untuk memperbarui pengelola kata sandi mereka ke versi terbaru.
Kita berbicara tentang kerentanan yang dapat digunakan oleh penyerang untuk mencuri data yang dimasukkan oleh pengguna pada situs web terakhir yang dikunjungi. Masalah tersebut ditemukan bulan lalu oleh Tavis Ormandy, salah satu anggota proyek Google Project Zero, yang melakukan penelitian di bidang keamanan informasi.
LastPass saat ini merupakan pengelola kata sandi paling populer. Pengembang memperbaiki kerentanan yang disebutkan sebelumnya di versi 4.33.0, yang tersedia untuk umum pada 12 September. Jika pengguna tidak menggunakan fitur pembaruan otomatis LastPass, mereka disarankan untuk mengunduh perangkat lunak versi terbaru secara manual. Hal ini perlu dilakukan secepat mungkin, karena setelah memperbaiki kerentanan, peneliti menerbitkan rinciannya, yang dapat digunakan oleh penyerang untuk mencuri kata sandi dari perangkat yang aplikasinya belum diperbarui.
Eksploitasi kerentanan melibatkan eksekusi kode JavaScript berbahaya pada perangkat target, tanpa interaksi pengguna apa pun. Penyerang dapat memikat pengguna ke situs jahat untuk mencuri kredensial yang disimpan di pengelola kata sandi. Tavis Ormandy percaya bahwa mengeksploitasi kerentanan ini cukup sederhana, karena penyerang dapat menyamarkan tautan berbahaya, menipu pengguna agar mengkliknya untuk mencuri kredensial yang dimasukkan di situs sebelumnya.
Perwakilan LastPass tidak mengomentari situasi ini. Saat ini, tidak ada kasus yang diketahui di mana kerentanan ini dimanfaatkan oleh penyerang.
Sumber: 3dnews.ru