Déi lescht Woch hunn d'Entwéckler vum populäre Passwuertmanager LastPass en Update verëffentlecht, deen eng Schwachstelle fixéiert, déi zum Leck vu Benotzerdaten féieren kann. De Problem gouf ugekënnegt nodeems et geléist gouf a LastPass Benotzer goufen ugeroden hire Passwuertmanager op déi lescht Versioun ze aktualiséieren.
Mir schwätzen iwwer eng Schwachstelle, déi vun Ugräifer benotzt ka ginn fir Daten ze klauen, déi vum Benotzer op der leschter Websäit besicht goufen. De Problem gouf de leschte Mount vum Tavis Ormandy entdeckt, e Member vum Google Project Zero Projet, deen Fuerschung am Beräich vun der Informatiounssécherheet mécht.
LastPass ass de Moment de beléifste Passwuert Manager. D'Entwéckler fixéiert déi virdru genannte Schwachstelle an der Versioun 4.33.0, déi den 12. September ëffentlech verfügbar ass. Wann d'Benotzer d'automatesch Update-Feature vun LastPass net benotzen, gi se ugeroden déi lescht Versioun vun der Software manuell erofzelueden. Dëst muss sou séier wéi méiglech gemaach ginn, well nodeems d'Schwachheet fixéiert gouf, hunn d'Fuerscher seng Detailer publizéiert, déi vun Ugräifer benotzt kënne ginn fir Passwierder vun Apparater ze klauen, op deenen d'Applikatioun nach net aktualiséiert gouf.
D'Exploitatioun vun der Schwachstelle beinhalt d'Ausféierung vu béiswëllegen JavaScript Code um Zilgerät, ouni Benotzerinteraktioun. Ugräifer kënnen d'Benotzer op béiswëlleg Site lackele fir Umeldungsinformatiounen ze klauen, déi an engem Passwuertmanager gespäichert sinn. Den Tavis Ormandy mengt datt d'Ausbeutung vun der Schwachstelle ganz einfach ass, well Ugräifer e béisaarteg Link verkleeden kënnen, de Benotzer täuschen fir drop ze klicken fir d'Umeldungsinformatiounen ze klauen déi op der viregter Säit aginn goufen.
LastPass Vertrieder kommentéieren net iwwer dës Situatioun. Am Moment sinn et keng Fäll bekannt, wou dës Schwachstelle vun Ugräifer benotzt gouf.
Source: 3dnews.ru