Өткөн аптада популярдуу LastPass сырсөз менеджеринин иштеп чыгуучулары колдонуучу маалыматтарынын агып кетишине алып келе турган кемчиликти оңдогон жаңыртууну чыгарышты. Маселе чечилгенден кийин жарыяланды жана LastPass колдонуучуларына сырсөз башкаргычын акыркы версияга жаңыртуу сунушталды.
Кеп чабуулчулар акыркы кирген веб-сайтка колдонуучу киргизген маалыматтарды уурдоо үчүн колдонушу мүмкүн болгон аялуу жөнүндө болуп жатат. Көйгөйдү өткөн айда Google Project Zero долбоорунун мүчөсү, маалымат коопсуздугу жаатында изилдөө жүргүзгөн Тавис Орманди ачкан.
LastPass учурда эң популярдуу сырсөз менеджери. Иштеп чыгуучулар 4.33.0-сентябрда жалпыга жеткиликтүү болгон 12 версиясында мурда айтылган кемчиликти оңдоп коюшкан. Колдонуучулар LastPass'тын автоматтык жаңыртуу функциясын колдонушпаса, аларга программанын акыркы версиясын кол менен жүктөө сунушталат. Бул мүмкүн болушунча тезирээк жасалышы керек, анткени алсыздыкты оңдогондон кийин, изилдөөчүлөр анын чоо-жайын жарыялашты, аны чабуулчулар тиркеме жаңыртыла элек түзмөктөрдүн сырсөздөрүн уурдоо үчүн колдонушу мүмкүн.
Алсыздыктын эксплуатацияланышы колдонуучунун эч кандай аракети жок, максаттуу түзмөктө зыяндуу JavaScript кодун аткарууну камтыйт. Чабуулчулар сырсөз башкаргычында сакталган эсептик дайындарды уурдоо үчүн колдонуучуларды зыяндуу сайттарга азгыра алышат. Tavis Ormandy аялуу жеринен пайдалануу абдан жөнөкөй деп эсептейт, анткени чабуулчулар зыяндуу шилтемени жашырып, колдонуучуну алдап, мурунку сайтка киргизилген эсептик дайындарды уурдап кетишет.
LastPass өкүлдөрү бул жагдай боюнча комментарий беришпейт. Учурда бул алсыздык чабуулчулар тарабынан колдонулган белгилүү учурлар жок.
Source: 3dnews.ru