Прошле недеље су програмери популарног менаџера лозинки ЛастПасс објавили ажурирање које поправља рањивост која би могла довести до цурења корисничких података. Проблем је најављен након што је решен, а корисницима ЛастПасс-а је саветовано да ажурирају свој менаџер лозинки на најновију верзију.
Говоримо о рањивости коју би нападачи могли искористити да украду податке које је корисник унео на последњој посећеној веб локацији. Проблем је прошлог месеца открио Тавис Орманди, члан пројекта Гоогле Пројецт Зеро, који спроводи истраживања у области информационе безбедности.
ЛастПасс је тренутно најпопуларнији менаџер лозинки. Програмери су поправили претходно поменуту рањивост у верзији 4.33.0, која је постала јавно доступна 12. септембра. Ако корисници не користе ЛастПасс-ову функцију аутоматског ажурирања, саветује им се да ручно преузму најновију верзију софтвера. То је потребно урадити што је брже могуће, јер су истраживачи након отклањања рањивости објавили њене детаље, које нападачи могу користити за крађу лозинки са уређаја на којима апликација још није ажурирана.
Искоришћавање рањивости укључује извршавање злонамерног ЈаваСцрипт кода на циљном уређају, без икакве интеракције корисника. Нападачи могу намамити кориснике на злонамерне сајтове како би украли акредитиве ускладиштене у менаџеру лозинки. Тавис Орманди верује да је искоришћавање рањивости прилично једноставно, јер нападачи могу да прикрију злонамерну везу, преваром корисника да кликне на њу како би украо акредитиве који су унети на претходном сајту.
Представници ЛастПасс-а не коментаришу ову ситуацију. Тренутно нема познатих случајева да су ову рањивост користили нападачи.
Извор: 3дневс.ру