Minggu lepas, pembangun pengurus kata laluan popular LastPass mengeluarkan kemas kini yang membetulkan kelemahan yang boleh membawa kepada kebocoran data pengguna. Isu itu diumumkan selepas ia diselesaikan dan pengguna LastPass dinasihatkan untuk mengemas kini pengurus kata laluan mereka kepada versi terkini.
Kami bercakap tentang kelemahan yang boleh digunakan oleh penyerang untuk mencuri data yang dimasukkan oleh pengguna pada tapak web terakhir yang dilawati. Masalah itu ditemui bulan lepas oleh Tavis Ormandy, ahli projek Google Project Zero, yang menjalankan penyelidikan dalam bidang keselamatan maklumat.
LastPass kini merupakan pengurus kata laluan yang paling popular. Pembangun membetulkan kelemahan yang disebutkan sebelum ini dalam versi 4.33.0, yang tersedia secara umum pada 12 September. Jika pengguna tidak menggunakan ciri kemas kini automatik LastPass, mereka dinasihatkan untuk memuat turun versi terkini perisian secara manual. Ini perlu dilakukan secepat mungkin, kerana selepas membetulkan kelemahan, penyelidik menerbitkan butirannya, yang boleh digunakan oleh penyerang untuk mencuri kata laluan daripada peranti yang aplikasinya belum dikemas kini.
Eksploitasi kerentanan melibatkan pelaksanaan kod JavaScript berniat jahat pada peranti sasaran, tanpa sebarang interaksi pengguna. Penyerang boleh menarik pengguna ke tapak berniat jahat untuk mencuri bukti kelayakan yang disimpan dalam pengurus kata laluan. Tavis Ormandy percaya bahawa mengeksploitasi kelemahan adalah agak mudah, kerana penyerang boleh menyamarkan pautan berniat jahat, menipu pengguna untuk mengklik padanya untuk mencuri bukti kelayakan yang telah dimasukkan pada tapak sebelumnya.
Wakil LastPass tidak mengulas mengenai situasi ini. Pada masa ini, tiada kes yang diketahui di mana kelemahan ini digunakan oleh penyerang.
Sumber: 3dnews.ru