先週、人気のパスワード マネージャー LastPass の開発者は、ユーザー データの漏洩につながる可能性のある脆弱性を修正するアップデートをリリースしました。 この問題は解決後に発表され、LastPass ユーザーはパスワード マネージャーを最新バージョンに更新することが推奨されました。
ここで話しているのは、攻撃者が最後に訪問した Web サイトでユーザーが入力したデータを盗むために悪用される可能性がある脆弱性についてです。 この問題は、情報セキュリティ分野の研究を行うGoogle Project ZeroプロジェクトのメンバーであるTavis Ormandy氏によって先月発見された。
LastPass は現在最も人気のあるパスワード マネージャーです。 開発者は、バージョン 4.33.0 で前述の脆弱性を修正し、12 月 XNUMX 日に一般公開されました。 ユーザーが LastPass の自動更新機能を使用しない場合は、ソフトウェアの最新バージョンを手動でダウンロードすることをお勧めします。 脆弱性を修正した後、研究者がその詳細を公開したため、これはできるだけ早く行う必要があります。これは、攻撃者がアプリケーションがまだ更新されていないデバイスからパスワードを盗むために使用される可能性があります。
この脆弱性の悪用には、ユーザーの介入なしに、ターゲット デバイス上で悪意のある JavaScript コードが実行されることが含まれます。 攻撃者は、パスワード マネージャーに保存されている資格情報を盗むために、ユーザーを悪意のあるサイトに誘導する可能性があります。 Tavis Ormandy 氏は、攻撃者が悪意のあるリンクを偽装し、ユーザーを騙してそのリンクをクリックさせ、以前のサイトで入力された認証情報を盗むことができるため、この脆弱性の悪用は非常に簡単であると考えています。
LastPass の代表者はこの状況についてコメントしていません。 現時点では、この脆弱性が攻撃者によって悪用された例は知られていません。
出所: 3dnews.ru