Vorige week hebben de ontwikkelaars van de populaire wachtwoordmanager LastPass een update uitgebracht die een kwetsbaarheid verhelpt die tot het lekken van gebruikersgegevens kan leiden. Het probleem werd aangekondigd nadat het was opgelost en LastPass-gebruikers werd geadviseerd hun wachtwoordbeheerder bij te werken naar de nieuwste versie.
We hebben het over een kwetsbaarheid die door aanvallers kan worden gebruikt om gegevens te stelen die door de gebruiker zijn ingevoerd op de laatst bezochte website. Het probleem werd vorige maand ontdekt door Tavis Ormandy, lid van het Google Project Zero-project, dat onderzoek doet op het gebied van informatiebeveiliging.
LastPass is momenteel de populairste wachtwoordbeheerder. De ontwikkelaars hebben de eerder genoemde kwetsbaarheid opgelost in versie 4.33.0, die op 12 september publiekelijk beschikbaar werd. Als gebruikers de automatische updatefunctie van LastPass niet gebruiken, wordt hen geadviseerd de nieuwste versie van de software handmatig te downloaden. Dit moet zo snel mogelijk gebeuren, omdat onderzoekers na het verhelpen van de kwetsbaarheid de details ervan hebben gepubliceerd, die door aanvallers kunnen worden gebruikt om wachtwoorden te stelen van apparaten waarop de applicatie nog niet is bijgewerkt.
Bij misbruik van de kwetsbaarheid wordt kwaadaardige JavaScript-code op het doelapparaat uitgevoerd, zonder enige gebruikersinteractie. Aanvallers kunnen gebruikers naar kwaadaardige sites lokken om inloggegevens te stelen die zijn opgeslagen in een wachtwoordbeheerder. Tavis Ormandy is van mening dat het misbruiken van de kwetsbaarheid vrij eenvoudig is, omdat aanvallers een kwaadaardige link kunnen verbergen en de gebruiker ertoe kunnen verleiden erop te klikken om de inloggegevens te stelen die op de vorige site zijn ingevoerd.
Vertegenwoordigers van LastPass geven geen commentaar op deze situatie. Op dit moment zijn er geen gevallen bekend waarin deze kwetsbaarheid door aanvallers is gebruikt.
Bron: 3dnews.ru