I forrige uke slapp utviklerne av den populære passordbehandleren LastPass en oppdatering som fikser en sårbarhet som kan føre til lekkasje av brukerdata. Problemet ble annonsert etter at det ble løst, og LastPass-brukere ble bedt om å oppdatere passordbehandleren til den nyeste versjonen.
Vi snakker om en sårbarhet som kan brukes av angripere til å stjele data som er lagt inn av brukeren på det siste besøkte nettstedet. Problemet ble oppdaget forrige måned av Tavis Ormandy, et medlem av Google Project Zero-prosjektet, som driver forskning innen informasjonssikkerhet.
LastPass er for tiden den mest populære passordbehandleren. Utviklerne fikset den tidligere nevnte sårbarheten i versjon 4.33.0, som ble offentlig tilgjengelig 12. september. Hvis brukere ikke bruker LastPass sin automatiske oppdateringsfunksjon, anbefales de å laste ned den nyeste versjonen av programvaren manuelt. Dette må gjøres så raskt som mulig, for etter å ha fikset sårbarheten publiserte forskere detaljene, som kan brukes av angripere til å stjele passord fra enheter som applikasjonen ennå ikke har blitt oppdatert på.
Utnyttelse av sårbarheten innebærer kjøring av ondsinnet JavaScript-kode på målenheten, uten brukerinteraksjon. Angripere kan lokke brukere til ondsinnede nettsteder for å stjele legitimasjon som er lagret i en passordbehandling. Tavis Ormandy mener det er ganske enkelt å utnytte sårbarheten, siden angripere kan skjule en ondsinnet lenke, og lure brukeren til å klikke på den for å stjele legitimasjonen som ble angitt på forrige side.
LastPass-representanter kommenterer ikke denne situasjonen. For øyeblikket er det ingen kjente tilfeller der denne sårbarheten ble brukt av angripere.
Kilde: 3dnews.ru