Na semana passada, os desenvolvedores do popular gerenciador de senhas LastPass lançaram uma atualização que corrige uma vulnerabilidade que poderia levar ao vazamento de dados do usuário. O problema foi anunciado depois de resolvido e os usuários do LastPass foram aconselhados a atualizar seu gerenciador de senhas para a versão mais recente.
Estamos falando de uma vulnerabilidade que pode ser utilizada por invasores para roubar dados inseridos pelo usuário no último site visitado. O problema foi descoberto no mês passado por Tavis Ormandy, membro do projeto Google Project Zero, que realiza pesquisas na área de segurança da informação.
LastPass é atualmente o gerenciador de senhas mais popular. Os desenvolvedores corrigiram a vulnerabilidade mencionada anteriormente na versão 4.33.0, que se tornou disponível publicamente em 12 de setembro. Se os usuários não usarem o recurso de atualização automática do LastPass, eles são aconselhados a baixar manualmente a versão mais recente do software. Isso precisa ser feito o mais rápido possível, pois após corrigir a vulnerabilidade, os pesquisadores publicaram seus detalhes, que podem ser usados por invasores para roubar senhas de dispositivos nos quais o aplicativo ainda não foi atualizado.
A exploração da vulnerabilidade envolve a execução de código JavaScript malicioso no dispositivo alvo, sem qualquer interação do usuário. Os invasores podem atrair usuários para sites maliciosos para roubar credenciais armazenadas em um gerenciador de senhas. Tavis Ormandy acredita que explorar a vulnerabilidade é bastante simples, já que invasores podem disfarçar um link malicioso, induzindo o usuário a clicar nele para roubar as credenciais que foram inseridas no site anterior.
Os representantes do LastPass não comentam esta situação. No momento, não há casos conhecidos em que esta vulnerabilidade tenha sido utilizada por invasores.
Fonte: 3dnews.ru