Minggu kepungkur, pangembang pangembang tembung sandi populer LastPass ngrilis update sing ndandani kerentanan sing bisa nyebabake bocor data pangguna. Masalah kasebut diumumake sawise dirampungake lan pangguna LastPass disaranake nganyari manajer sandhi menyang versi paling anyar.
Kita ngomong babagan kerentanan sing bisa digunakake dening panyerang kanggo nyolong data sing dilebokake pangguna ing situs web pungkasan sing dibukak. Masalah kasebut ditemokake ing wulan kepungkur dening Tavis Ormandy, anggota proyek Google Project Zero, sing nindakake riset ing bidang keamanan informasi.
LastPass saiki dadi pangatur sandhi sing paling populer. Pangembang ndandani kerentanan sing wis kasebut sadurunge ing versi 4.33.0, sing kasedhiya kanggo umum tanggal 12 September. Yen pangguna ora nggunakake fitur nganyari otomatis LastPass, disaranake ngundhuh piranti lunak versi paling anyar kanthi manual. Iki kudu ditindakake kanthi cepet, amarga sawise ndandani kerentanan kasebut, para peneliti nerbitake rincian kasebut, sing bisa digunakake dening panyerang kanggo nyolong sandhi saka piranti sing aplikasi kasebut durung dianyari.
Eksploitasi kerentanan kalebu eksekusi kode JavaScript sing mbebayani ing piranti target, tanpa interaksi pangguna. Penyerang bisa nggodho pangguna menyang situs angkoro supaya bisa nyolong kredensial sing disimpen ing manajer sandi. Tavis Ormandy percaya yen ngeksploitasi kerentanan kasebut cukup prasaja, amarga panyerang bisa nyamar link jahat, ngapusi pangguna supaya ngeklik kanggo nyolong kredensial sing dilebokake ing situs sadurunge.
Perwakilan LastPass ora menehi komentar babagan kahanan iki. Saiki, ora ana kasus sing dingerteni manawa kerentanan iki digunakake dening panyerang.
Source: 3dnews.ru