Өнгөрсөн долоо хоногт алдартай нууц үгийн менежер LastPass-ийн хөгжүүлэгчид хэрэглэгчийн мэдээлэл задрахад хүргэж болзошгүй эмзэг байдлыг зассан шинэчлэлтийг гаргасан. Асуудлыг шийдвэрлэсний дараа зарласан бөгөөд LastPass хэрэглэгчид нууц үгийн менежерээ хамгийн сүүлийн хувилбар руу шинэчлэхийг зөвлөсөн.
Бид хамгийн сүүлд зочилсон вэб сайтад хэрэглэгчийн оруулсан өгөгдлийг хулгайлахад халдагчид ашиглаж болох эмзэг байдлын тухай ярьж байна. Асуудлыг өнгөрсөн сард мэдээллийн аюулгүй байдлын чиглэлээр судалгаа хийдэг Google Project Zero төслийн гишүүн Тавис Орманди илрүүлсэн байна.
LastPass бол одоогоор хамгийн алдартай нууц үгийн менежер юм. Хөгжүүлэгчид 4.33.0-р сарын 12-нд нийтэд нээлттэй болсон XNUMX хувилбарын өмнө дурдсан эмзэг байдлыг зассан. Хэрэв хэрэглэгчид LastPass-ийн автомат шинэчлэлтийг ашигладаггүй бол програм хангамжийн хамгийн сүүлийн хувилбарыг гараар татаж авахыг зөвлөж байна. Үүнийг аль болох хурдан хийх хэрэгтэй, учир нь судлаачид эмзэг байдлыг зассаны дараа түүний дэлгэрэнгүй мэдээллийг нийтэлсэн бөгөөд халдагчид уг программыг хараахан шинэчлэгдээгүй байгаа төхөөрөмжүүдийн нууц үгийг хулгайлахад ашиглаж болно.
Эмзэг байдлыг ашиглах нь зорилтот төхөөрөмж дээр ямар ч хэрэглэгчийн харилцан үйлчлэлгүйгээр хортой JavaScript кодыг гүйцэтгэх явдал юм. Халдагчид нууц үгийн менежерт хадгалагдсан итгэмжлэлүүдийг хулгайлахын тулд хэрэглэгчдийг хортой сайт руу уруу татах боломжтой. Тавис Орманди энэ эмзэг байдлыг ашиглах нь маш энгийн, учир нь халдагчид хортой холбоосыг нуун дарагдуулж, өмнөх сайтад нэвтэрсэн итгэмжлэлүүдийг хулгайлахын тулд хэрэглэгчийг хууран мэхлэх боломжтой гэж үзэж байна.
LastPass-ийн төлөөлөгчид энэ нөхцөл байдлын талаар тайлбар өгөхгүй байна. Одоогоор энэ эмзэг байдлыг халдагчид ашигласан тохиолдол гараагүй байна.
Эх сурвалж: 3dnews.ru