Өткен аптада танымал LastPass құпия сөз менеджерінің әзірлеушілері пайдаланушы деректерінің ағып кетуіне әкелетін осалдықты түзететін жаңартуды шығарды. Мәселе шешілгеннен кейін жарияланды және LastPass пайдаланушыларына құпия сөз реттеушісін соңғы нұсқаға жаңартуға кеңес берілді.
Біз шабуылдаушылар соңғы кірген веб-сайтқа пайдаланушы енгізген деректерді ұрлау үшін пайдаланылуы мүмкін осалдық туралы айтып отырмыз. Мәселені өткен айда ақпараттық қауіпсіздік саласында зерттеу жүргізетін Google Project Zero жобасының мүшесі Тавис Орманди анықтаған.
LastPass қазіргі уақытта ең танымал құпиясөз менеджері болып табылады. Әзірлеушілер 4.33.0 қыркүйекте жалпыға қолжетімді болған 12 нұсқасында бұрын айтылған осалдықты түзетті. Егер пайдаланушылар LastPass автоматты жаңарту мүмкіндігін пайдаланбаса, оларға бағдарламалық құралдың соңғы нұсқасын қолмен жүктеп алу ұсынылады. Мұны мүмкіндігінше тезірек жасау керек, өйткені осалдықты түзеткеннен кейін зерттеушілер оның мәліметтерін жариялады, оны шабуылдаушылар қолданбасы әлі жаңартылмаған құрылғылардан құпия сөздерді ұрлау үшін пайдалана алады.
Осалдықты пайдалану мақсатты құрылғыда пайдаланушының ешбір әрекетінсіз зиянды JavaScript кодын орындауды қамтиды. Қауіптілер құпия сөз басқарушысында сақталған тіркелгі деректерін ұрлау үшін пайдаланушыларды зиянды сайттарға тарта алады. Tavis Ormandy осалдықты пайдалану өте қарапайым деп санайды, өйткені шабуылдаушылар зиянды сілтемені жасырып, пайдаланушыны алдыңғы сайтқа енгізілген тіркелгі деректерін ұрлау үшін оны басу арқылы алдап алады.
LastPass өкілдері бұл жағдайға түсініктеме бермейді. Қазіргі уақытта бұл осалдықты шабуылдаушылар пайдаланған белгілі жағдайлар жоқ.
Ақпарат көзі: 3dnews.ru