Минатата недела, програмерите на популарниот менаџер за лозинки LastPass објавија ажурирање што ја поправа ранливоста што може да доведе до протекување на кориснички податоци. Проблемот беше објавен откако беше решен и на корисниците на LastPass им беше препорачано да го ажурираат својот менаџер за лозинки на најновата верзија.
Зборуваме за ранливост што може да ја користат напаѓачите за да украдат податоци внесени од корисникот на последната посетена веб-страница. Проблемот минатиот месец го откри Тавис Орманди, член на проектот Google Project Zero, кој спроведува истражувања во областа на информациската безбедност.
LastPass моментално е најпопуларниот менаџер за лозинки. Програмерите ја поправија претходно споменатата ранливост во верзијата 4.33.0, која стана јавно достапна на 12 септември. Доколку корисниците не ја користат функцијата за автоматско ажурирање на LastPass, им се советува рачно да ја преземат најновата верзија на софтверот. Ова треба да се направи што е можно побрзо, бидејќи по поправањето на ранливоста, истражувачите ги објавија нејзините детали, кои напаѓачите можат да ги користат за кражба на лозинки од уреди на кои апликацијата сè уште не е ажурирана.
Експлоатацијата на ранливоста вклучува извршување на злонамерен JavaScript код на целниот уред, без каква било интеракција со корисникот. Напаѓачите можат да ги намамат корисниците на малициозни сајтови со цел да ги украдат ингеренциите зачувани во менаџерот за лозинки. Тавис Орманди верува дека искористувањето на ранливоста е прилично едноставно, бидејќи напаѓачите можат да прикријат злонамерна врска, измамувајќи го корисникот да кликне на неа за да ги украдат ингеренциите што биле внесени на претходната страница.
Претставниците на LastPass не ја коментираат оваа ситуација. Во моментов, нема познати случаи кога оваа ранливост била користена од напаѓачи.
Извор: 3dnews.ru