Prejšnji teden so razvijalci priljubljenega upravitelja gesel LastPass izdali posodobitev, ki odpravlja ranljivost, ki bi lahko povzročila uhajanje uporabniških podatkov. Težava je bila objavljena po tem, ko je bila odpravljena, uporabnikom LastPass pa je bilo priporočeno, naj svoj upravitelj gesel posodobijo na najnovejšo različico.
Govorimo o ranljivosti, ki bi jo napadalci lahko uporabili za krajo podatkov, ki jih je uporabnik vnesel na zadnji obiskani spletni strani. Težavo je prejšnji mesec odkril Tavis Ormandy, član projekta Google Project Zero, ki se ukvarja z raziskavami na področju informacijske varnosti.
LastPass je trenutno najbolj priljubljen upravitelj gesel. Razvijalci so že omenjeno ranljivost odpravili v različici 4.33.0, ki je postala javno dostopna 12. septembra. Če uporabniki ne uporabljajo funkcije samodejnega posodabljanja LastPass, jim svetujemo, da ročno prenesejo najnovejšo različico programske opreme. To je treba storiti čim hitreje, saj so raziskovalci po odpravi ranljivosti objavili njene podrobnosti, ki jih napadalci lahko uporabijo za krajo gesel iz naprav, na katerih aplikacija še ni posodobljena.
Izkoriščanje ranljivosti vključuje izvajanje zlonamerne kode JavaScript na ciljni napravi brez kakršne koli interakcije uporabnika. Napadalci lahko zvabijo uporabnike na zlonamerna spletna mesta, da bi ukradli poverilnice, shranjene v upravitelju gesel. Tavis Ormandy meni, da je izkoriščanje ranljivosti precej preprosto, saj lahko napadalci prikrijejo zlonamerno povezavo in uporabnika zavedejo, da klikne nanjo in ukrade poverilnice, ki so bile vnesene na prejšnjem spletnem mestu.
Predstavniki LastPass te situacije ne komentirajo. Trenutno ni znanih primerov, ko bi napadalci uporabili to ranljivost.
Vir: 3dnews.ru