පසුගිය සතියේ, ජනප්රිය මුරපද කළමනාකරු LastPass හි සංවර්ධකයින් විසින් පරිශීලක දත්ත කාන්දු වීමට තුඩු දිය හැකි අවදානමක් නිවැරදි කරන යාවත්කාලීනයක් නිකුත් කරන ලදී. ගැටළුව විසඳා ගැනීමෙන් පසුව නිවේදනය කරන ලද අතර LastPass පරිශීලකයින්ට ඔවුන්ගේ මුරපද කළමනාකරු නවතම අනුවාදයට යාවත්කාලීන කරන ලෙස උපදෙස් දෙන ලදී.
අපි කතා කරන්නේ අවසන් වරට පිවිසි වෙබ් අඩවියේ පරිශීලකයා ඇතුළු කළ දත්ත සොරකම් කිරීමට ප්රහාරකයන්ට භාවිතා කළ හැකි අවදානමක් ගැන ය. තොරතුරු ආරක්ෂණ ක්ෂේත්රයේ පර්යේෂණ පවත්වන Google Project Zero ව්යාපෘතියේ සාමාජිකයෙකු වන Tavis Ormandy විසින් පසුගිය මාසයේ මෙම ගැටළුව සොයා ගන්නා ලදී.
LastPass දැනට ජනප්රියම මුරපද කළමනාකරු වේ. සංවර්ධකයින් විසින් සැප්තැම්බර් 4.33.0 වන දින ප්රසිද්ධියේ ලබා ගත හැකි 12 අනුවාදයේ කලින් සඳහන් කළ අවදානම නිවැරදි කරන ලදී. පරිශීලකයන් LastPass හි ස්වයංක්රීය යාවත්කාලීන විශේෂාංගය භාවිතා නොකරන්නේ නම්, මෘදුකාංගයේ නවතම අනුවාදය අතින් බාගත කිරීමට ඔවුන්ට උපදෙස් දෙනු ලැබේ. මෙය හැකි ඉක්මනින් සිදු කළ යුතුය, මන්ද යත් අවදානම නිවැරදි කිරීමෙන් පසුව, පර්යේෂකයන් එහි විස්තර ප්රකාශයට පත් කළ අතර, යෙදුම තවමත් යාවත්කාලීන කර නොමැති උපාංගවලින් මුරපද සොරකම් කිරීමට ප්රහාරකයන්ට භාවිතා කළ හැකිය.
අනාරක්ෂිත බව ප්රයෝජනයට ගැනීම යනු පරිශීලක අන්තර්ක්රියාවකින් තොරව, ඉලක්ක උපාංගයේ අනිෂ්ට ජාවාස්ක්රිප්ට් කේතය ක්රියාත්මක කිරීමයි. මුරපද කළමණාකරුවෙකු තුළ ගබඩා කර ඇති අක්තපත්ර සොරකම් කිරීම සඳහා ප්රහාරකයන්ට අනිෂ්ට වෙබ් අඩවි වෙත පරිශීලකයින් ආකර්ෂණය කර ගත හැකිය. ප්රහාරකයන්ට ද්වේෂසහගත සබැඳියක් වෙස්වළා ගත හැකි බැවින්, පෙර වෙබ් අඩවියේ ඇතුළත් කළ අක්තපත්ර සොරකම් කිරීම සඳහා එය ක්ලික් කිරීමට පරිශීලකයා රවටා ගත හැකි බැවින්, අවදානම් ප්රයෝජන ගැනීම ඉතා සරල බව ටාවිස් ඔර්මන්ඩි විශ්වාස කරයි.
LastPass නියෝජිතයන් මෙම තත්ත්වය පිළිබඳව අදහස් දක්වන්නේ නැත. මේ මොහොතේ, ප්රහාරකයින් විසින් මෙම අවදානම භාවිතා කළ බවට දන්නා අවස්ථා නොමැත.
මූලාශ්රය: 3dnews.ru