Í síðustu viku gáfu forritarar hins vinsæla lykilorðastjóra LastPass út uppfærslu sem lagar veikleika sem gæti leitt til leka á notendagögnum. Málið var tilkynnt eftir að það var leyst og LastPass notendum var bent á að uppfæra lykilorðastjórann sinn í nýjustu útgáfuna.
Við erum að tala um varnarleysi sem gæti verið notað af árásarmönnum til að stela gögnum sem notandinn hefur slegið inn á síðustu vefsíðu sem hann heimsótti. Vandamálið uppgötvaðist í síðasta mánuði af Tavis Ormandy, meðlimi Google Project Zero verkefnisins, sem stundar rannsóknir á sviði upplýsingaöryggis.
LastPass er eins og er vinsælasti lykilorðastjórinn. Hönnuðir lagfærðu áðurnefndan varnarleysi í útgáfu 4.33.0, sem varð aðgengileg almenningi 12. september. Ef notendur nota ekki sjálfvirka uppfærslueiginleika LastPass er þeim bent á að hlaða niður nýjustu útgáfu hugbúnaðarins handvirkt. Þetta þarf að gera eins fljótt og auðið er, því eftir að veikleikinn var lagfærður birtu rannsakendur upplýsingar þess, sem árásarmenn geta notað til að stela lykilorðum úr tækjum sem forritið hefur ekki enn verið uppfært á.
Nýting á varnarleysinu felur í sér að keyra skaðlegan JavaScript kóða á marktækinu, án nokkurra notenda. Árásarmenn geta tælt notendur á illgjarn vefsvæði til að stela skilríkjum sem geymd eru í lykilorðastjóra. Tavis Ormandy telur að það sé frekar einfalt að nýta sér varnarleysið, þar sem árásarmenn geta dulbúið skaðlegan hlekk, platað notandann til að smella á hann til að stela skilríkjunum sem voru færð inn á fyrri síðuna.
Fulltrúar LastPass tjá sig ekki um þessa stöðu. Í augnablikinu eru engin tilvik þekkt þar sem þessi varnarleysi var notað af árásarmönnum.
Heimild: 3dnews.ru