Praėjusią savaitę populiaraus slaptažodžių tvarkyklės „LastPass“ kūrėjai išleido atnaujinimą, kuris pataiso pažeidžiamumą, dėl kurio gali nutekėti vartotojo duomenys. Problema buvo paskelbta ją išsprendus, o „LastPass“ vartotojams buvo patarta atnaujinti slaptažodžių tvarkyklę į naujausią versiją.
Kalbame apie pažeidžiamumą, kurį užpuolikai gali panaudoti norėdami pavogti duomenis, kuriuos vartotojas įvedė paskutinėje aplankytoje svetainėje. Problemą praėjusį mėnesį atrado Tavis Ormandy, projekto „Google Project Zero“, vykdančio tyrimus informacijos saugumo srityje, narys.
„LastPass“ šiuo metu yra populiariausias slaptažodžių tvarkytuvas. Kūrėjai ištaisė anksčiau minėtą pažeidžiamumą 4.33.0 versijoje, kuri tapo viešai prieinama rugsėjo 12 d. Jei vartotojai nesinaudoja LastPass automatinio atnaujinimo funkcija, jiems patariama rankiniu būdu atsisiųsti naujausią programinės įrangos versiją. Tai reikia padaryti kuo skubiau, nes ištaisę pažeidžiamumą mokslininkai paskelbė jo detales, kuriomis užpuolikai gali pavogti slaptažodžius iš įrenginių, kuriuose programa dar neatnaujinta.
Pažeidžiamumo išnaudojimas apima kenkėjiško JavaScript kodo vykdymą tiksliniame įrenginyje be jokios vartotojo sąveikos. Užpuolikai gali privilioti vartotojus į kenkėjiškas svetaines, kad pavogtų slaptažodžių tvarkyklėje saugomus kredencialus. Tavis Ormandy mano, kad išnaudoti pažeidžiamumą yra gana paprasta, nes užpuolikai gali užmaskuoti kenkėjišką nuorodą ir priversti vartotoją ją spustelėti, kad pavogtų ankstesnėje svetainėje įvestus kredencialus.
„LastPass“ atstovai šios situacijos nekomentuoja. Šiuo metu nėra žinomų atvejų, kai užpuolikai būtų pasinaudoję šiuo pažeidžiamumu.
Šaltinis: 3dnews.ru