Pagājušajā nedēļā populārā paroļu pārvaldnieka LastPass izstrādātāji izlaida atjauninājumu, kas novērš ievainojamību, kas var izraisīt lietotāja datu noplūdi. Problēma tika paziņota pēc tam, kad tā tika atrisināta, un LastPass lietotājiem tika ieteikts atjaunināt savu paroļu pārvaldnieku uz jaunāko versiju.
Mēs runājam par ievainojamību, ko uzbrucēji var izmantot, lai nozagtu datus, ko lietotājs ievadījis pēdējā apmeklētajā vietnē. Problēmu pagājušajā mēnesī atklāja Tavis Ormandy, projekta Google Project Zero dalībnieks, kas veic pētījumus informācijas drošības jomā.
LastPass pašlaik ir vispopulārākais paroļu pārvaldnieks. Izstrādātāji novērsa iepriekš minēto ievainojamību 4.33.0 versijā, kas kļuva publiski pieejama 12. septembrī. Ja lietotāji neizmanto LastPass automātiskās atjaunināšanas funkciju, viņiem ieteicams manuāli lejupielādēt jaunāko programmatūras versiju. Tas jādara pēc iespējas ātrāk, jo pēc ievainojamības novēršanas pētnieki publicēja tās detaļas, kuras uzbrucēji var izmantot, lai nozagtu paroles no ierīcēm, kurās aplikācija vēl nav atjaunināta.
Ievainojamības izmantošana ietver ļaunprātīga JavaScript koda izpildi mērķa ierīcē bez lietotāja iejaukšanās. Uzbrucēji var pārvilināt lietotājus uz ļaunprātīgām vietnēm, lai nozagtu paroļu pārvaldniekā saglabātos akreditācijas datus. Taviss Ormandijs uzskata, ka ievainojamības izmantošana ir pavisam vienkārša, jo uzbrucēji var noslēpt ļaunprātīgu saiti, piemānoties lietotājam noklikšķināt uz tās, lai nozagtu iepriekšējā vietnē ievadītos akreditācijas datus.
LastPass pārstāvji šo situāciju nekomentē. Šobrīd nav zināmi gadījumi, kad uzbrucēji būtu izmantojuši šo ievainojamību.
Avots: 3dnews.ru