Il-ġimgħa li għaddiet, l-iżviluppaturi tal-maniġer tal-password popolari LastPass ħarġu aġġornament li jiffissa vulnerabbiltà li tista 'twassal għat-tnixxija tad-dejta tal-utent. Il-kwistjoni tħabbret wara li ġiet solvuta u l-utenti ta' LastPass ġew avżati biex jaġġornaw il-maniġer tal-password tagħhom għall-aħħar verżjoni.
Qed nitkellmu dwar vulnerabbiltà li tista 'tintuża minn attakkanti biex jisirqu data mdaħħla mill-utent fuq l-aħħar websajt miżjura. Il-problema ġiet skoperta x-xahar li għadda minn Tavis Ormandy, membru tal-proġett Google Project Zero, li jwettaq riċerka fil-qasam tas-sigurtà tal-informazzjoni.
LastPass bħalissa huwa l-aktar maniġer tal-password popolari. L-iżviluppaturi ffissaw il-vulnerabbiltà msemmija qabel fil-verżjoni 4.33.0, li saret disponibbli pubblikament fit-12 ta 'Settembru. Jekk l-utenti ma jużawx il-karatteristika ta 'aġġornament awtomatiku ta' LastPass, huma avżati biex iniżżlu manwalment l-aħħar verżjoni tas-softwer. Dan jeħtieġ li jsir malajr kemm jista 'jkun, għaliex wara li rranġaw il-vulnerabbiltà, ir-riċerkaturi ppubblikaw id-dettalji tagħha, li jistgħu jintużaw minn attakkanti biex jisirqu passwords minn apparati li fuqhom l-applikazzjoni għadha ma ġietx aġġornata.
L-isfruttament tal-vulnerabbiltà jinvolvi l-eżekuzzjoni ta 'kodiċi JavaScript malizzjuż fuq l-apparat fil-mira, mingħajr ebda interazzjoni tal-utent. L-attakkanti jistgħu jħajru lill-utenti lejn siti malizzjużi sabiex jisirqu kredenzjali maħżuna f'maniġer tal-password. Tavis Ormandy jemmen li l-isfruttament tal-vulnerabbiltà huwa pjuttost sempliċi, peress li l-attakkanti jistgħu jaħbu link malizzjuż, iqarrqu lill-utent biex jikklikkja fuqha biex jisirqu l-kredenzjali li ddaħħlu fis-sit preċedenti.
Ir-rappreżentanti ta’ LastPass ma jikkummentawx dwar din is-sitwazzjoni. Bħalissa, m'hemm l-ebda każ magħruf fejn din il-vulnerabbiltà ntużat minn attakkanti.
Sors: 3dnews.ru