Javën e kaluar, zhvilluesit e menaxherit popullor të fjalëkalimeve LastPass lëshuan një përditësim që rregullon një dobësi që mund të çojë në rrjedhjen e të dhënave të përdoruesit. Çështja u njoftua pasi u zgjidh dhe përdoruesit e LastPass u këshilluan të përditësojnë menaxherin e tyre të fjalëkalimeve në versionin më të fundit.
Po flasim për një dobësi që mund të përdoret nga sulmuesit për të vjedhur të dhënat e futura nga përdoruesi në faqen e fundit të internetit të vizituar. Problemi u zbulua muajin e kaluar nga Tavis Ormandy, një anëtar i projektit Google Project Zero, i cili kryen kërkime në fushën e sigurisë së informacionit.
LastPass është aktualisht menaxheri më i popullarizuar i fjalëkalimeve. Zhvilluesit rregulluan cenueshmërinë e përmendur më parë në versionin 4.33.0, i cili u bë i disponueshëm publikisht më 12 shtator. Nëse përdoruesit nuk përdorin veçorinë e përditësimit automatik të LastPass, ata këshillohen që të shkarkojnë manualisht versionin më të fundit të softuerit. Kjo duhet të bëhet sa më shpejt që të jetë e mundur, sepse pas rregullimit të dobësisë, studiuesit publikuan detajet e saj, të cilat mund të përdoren nga sulmuesit për të vjedhur fjalëkalime nga pajisjet në të cilat aplikacioni nuk është përditësuar ende.
Shfrytëzimi i cenueshmërisë përfshin ekzekutimin e kodit keqdashës JavaScript në pajisjen e synuar, pa asnjë ndërveprim të përdoruesit. Sulmuesit mund të joshin përdoruesit në sajte me qëllim të keq në mënyrë që të vjedhin kredencialet e ruajtura në një menaxher fjalëkalimi. Tavis Ormandy beson se shfrytëzimi i dobësisë është mjaft i thjeshtë, pasi sulmuesit mund të maskojnë një lidhje me qëllim të keq, duke mashtruar përdoruesin që të klikojë mbi të për të vjedhur kredencialet që janë futur në faqen e mëparshme.
Përfaqësuesit e LastPass nuk e komentojnë këtë situatë. Për momentin, nuk dihen raste kur kjo dobësi është përdorur nga sulmuesit.
Burimi: 3dnews.ru