Minggu kamari, pamekar manajer sandi populér LastPass ngaluarkeun pembaruan anu ngalereskeun kerentanan anu tiasa nyababkeun bocor data pangguna. Masalahna diumumkeun saatos direngsekeun sareng pangguna LastPass disarankan pikeun ngapdet manajer sandina kana vérsi pangénggalna.
Urang ngobrolkeun ngeunaan kerentanan anu tiasa dianggo ku panyerang pikeun maok data anu diasupkeun ku pangguna dina halaman wéb anu terakhir dilongok. Masalahna kapanggih bulan kamari ku Tavis Ormandy, anggota proyék Google Project Zero, anu ngalaksanakeun panalungtikan dina widang kaamanan inpormasi.
LastPass ayeuna mangrupikeun manajer sandi anu paling populér. Pamekar ngalereskeun kerentanan anu disebatkeun sateuacana dina versi 4.33.0, anu janten sayogi umum dina 12 Séptémber. Upami pangguna henteu nganggo fitur apdet otomatis LastPass, aranjeunna disarankan pikeun ngaunduh vérsi parangkat lunak sacara manual. Ieu kedah dilakukeun gancang-gancang, sabab saatos ngalereskeun kerentanan, peneliti nyebarkeun detilna, anu tiasa dianggo ku panyerang pikeun maok kecap akses tina alat anu aplikasina henteu acan diropéa.
Eksploitasi kerentanan ngalibatkeun palaksanaan kode JavaScript jahat dina alat target, tanpa aya interaksi pangguna. Panyerang tiasa mamingan pangguna ka situs jahat pikeun maok kredensial anu disimpen dina manajer sandi. Tavis Ormandy percaya yén ngamangpaatkeun kerentanan éta cukup saderhana, sabab panyerang tiasa nyamar tautan anu jahat, nipu pangguna pikeun ngaklikana pikeun maok kredensial anu diasupkeun dina situs sateuacana.
Perwakilan LastPass henteu mairan kana kaayaan ieu. Ayeuna, teu aya kasus anu dipikanyaho dimana kerentanan ieu dianggo ku panyerang.
sumber: 3dnews.ru