Minulý týždeň vývojári obľúbeného správcu hesiel LastPass vydali aktualizáciu, ktorá opravuje zraniteľnosť, ktorá by mohla viesť k úniku používateľských dát. Problém bol oznámený po jeho vyriešení a používateľom LastPass bolo odporučené aktualizovať správcu hesiel na najnovšiu verziu.
Hovoríme o zraniteľnosti, ktorú by útočníci mohli využiť na odcudzenie údajov zadaných používateľom na poslednej navštívenej webovej stránke. Problém objavil minulý mesiac Tavis Ormandy, člen projektu Google Project Zero, ktorý sa zaoberá výskumom v oblasti informačnej bezpečnosti.
LastPass je momentálne najpopulárnejší správca hesiel. Vývojári opravili vyššie spomínanú zraniteľnosť vo verzii 4.33.0, ktorá sa stala verejne dostupnou 12. septembra. Ak používatelia nepoužívajú funkciu automatickej aktualizácie LastPass, odporúčame, aby si manuálne stiahli najnovšiu verziu softvéru. Treba to urobiť čo najrýchlejšie, pretože po oprave zraniteľnosti výskumníci zverejnili jej detaily, ktoré môžu útočníci využiť na ukradnutie hesiel zo zariadení, na ktorých aplikácia ešte nebola aktualizovaná.
Využitie tejto zraniteľnosti zahŕňa spustenie škodlivého kódu JavaScript na cieľovom zariadení bez akejkoľvek interakcie používateľa. Útočníci môžu nalákať používateľov na škodlivé stránky s cieľom ukradnúť poverenia uložené v správcovi hesiel. Tavis Ormandy verí, že zneužitie tejto zraniteľnosti je celkom jednoduché, pretože útočníci môžu zamaskovať škodlivý odkaz a oklamať používateľa, aby naň klikol a ukradol poverenia, ktoré boli zadané na predchádzajúcej stránke.
Zástupcovia LastPass túto situáciu nekomentujú. Momentálne nie sú známe žiadne prípady, kedy by túto zraniteľnosť útočníci použili.
Zdroj: 3dnews.ru