La settimana scorsa, gli sviluppatori del popolare gestore di password LastPass hanno rilasciato un aggiornamento che risolve una vulnerabilità che potrebbe portare alla fuga di dati dell'utente. Il problema è stato annunciato dopo essere stato risolto e agli utenti LastPass è stato consigliato di aggiornare il proprio gestore di password alla versione più recente.
Stiamo parlando di una vulnerabilità che potrebbe essere sfruttata dagli aggressori per rubare i dati inseriti dall'utente sull'ultimo sito web visitato. Il problema è stato scoperto il mese scorso da Tavis Ormandy, membro del progetto Google Project Zero, che conduce ricerche nel campo della sicurezza informatica.
LastPass è attualmente il gestore di password più popolare. Gli sviluppatori hanno risolto la vulnerabilità menzionata in precedenza nella versione 4.33.0, resa pubblica il 12 settembre. Se gli utenti non utilizzano la funzione di aggiornamento automatico di LastPass, si consiglia loro di scaricare manualmente la versione più recente del software. Questo deve essere fatto il più rapidamente possibile, perché dopo aver risolto la vulnerabilità, i ricercatori ne hanno pubblicato i dettagli, che possono essere utilizzati dagli aggressori per rubare password dai dispositivi su cui l'applicazione non è stata ancora aggiornata.
Lo sfruttamento della vulnerabilità comporta l'esecuzione di codice JavaScript dannoso sul dispositivo di destinazione, senza alcuna interazione da parte dell'utente. Gli aggressori possono attirare gli utenti su siti dannosi per rubare le credenziali archiviate in un gestore di password. Tavis Ormandy ritiene che sfruttare la vulnerabilità sia abbastanza semplice, poiché gli aggressori possono mascherare un collegamento dannoso, inducendo l'utente a cliccarci sopra per rubare le credenziali inserite nel sito precedente.
I rappresentanti di LastPass non commentano questa situazione. Al momento non sono noti casi in cui questa vulnerabilità sia stata sfruttata dagli aggressori.
Fonte: 3dnews.ru