W zeszłym tygodniu twórcy popularnego menedżera haseł LastPass wydali aktualizację, która naprawia lukę, która mogła doprowadzić do wycieku danych użytkownika. Problem został ogłoszony po jego rozwiązaniu, a użytkownikom LastPass zalecono aktualizację menedżera haseł do najnowszej wersji.
Mówimy o luce, która może zostać wykorzystana przez atakujących do kradzieży danych wprowadzonych przez użytkownika na ostatnio odwiedzanej stronie internetowej. Problem odkrył w zeszłym miesiącu Tavis Ormandy, członek projektu Google Project Zero, który prowadzi badania z zakresu bezpieczeństwa informacji.
LastPass to obecnie najpopularniejszy menedżer haseł. Twórcy naprawili wspomnianą wcześniej lukę w wersji 4.33.0, która została udostępniona publicznie 12 września. Jeśli użytkownicy nie korzystają z funkcji automatycznej aktualizacji LastPass, zaleca się ręczne pobranie najnowszej wersji oprogramowania. Trzeba to zrobić jak najszybciej, gdyż po naprawieniu luki badacze opublikowali jej szczegóły, które mogą zostać wykorzystane przez atakujących do kradzieży haseł z urządzeń, na których aplikacja nie została jeszcze zaktualizowana.
Wykorzystanie luki polega na wykonaniu szkodliwego kodu JavaScript na urządzeniu docelowym, bez jakiejkolwiek interakcji użytkownika. Osoby atakujące mogą zwabić użytkowników do złośliwych witryn w celu kradzieży danych uwierzytelniających przechowywanych w menedżerze haseł. Tavis Ormandy uważa, że wykorzystanie luki jest dość proste, ponieważ osoby atakujące mogą ukryć złośliwy link, nakłaniając użytkownika do kliknięcia w niego i kradzieży danych uwierzytelniających wprowadzonych w poprzedniej witrynie.
Przedstawiciele LastPass nie komentują tej sytuacji. Na chwilę obecną nie są znane przypadki wykorzystania tej luki przez atakujących.
Źródło: 3dnews.ru