Förra veckan släppte utvecklarna av den populära lösenordshanteraren LastPass en uppdatering som åtgärdar en sårbarhet som kan leda till läckage av användardata. Problemet tillkännagavs efter att det lösts och LastPass-användare uppmanades att uppdatera sin lösenordshanterare till den senaste versionen.
Vi talar om en sårbarhet som kan användas av angripare för att stjäla data som användaren angett på den senaste webbplatsen som besöktes. Problemet upptäcktes förra månaden av Tavis Ormandy, medlem i Google Project Zero-projektet, som bedriver forskning inom området informationssäkerhet.
LastPass är för närvarande den mest populära lösenordshanteraren. Utvecklarna fixade den tidigare nämnda sårbarheten i version 4.33.0, som blev allmänt tillgänglig den 12 september. Om användare inte använder LastPass automatiska uppdateringsfunktion, rekommenderas de att manuellt ladda ner den senaste versionen av programvaran. Detta måste göras så snabbt som möjligt, för efter att ha åtgärdat sårbarheten publicerade forskare dess detaljer, som kan användas av angripare för att stjäla lösenord från enheter som applikationen ännu inte har uppdaterats på.
Utnyttjande av sårbarheten innebär exekvering av skadlig JavaScript-kod på målenheten, utan någon användarinteraktion. Angripare kan locka användare till skadliga webbplatser för att stjäla referenser lagrade i en lösenordshanterare. Tavis Ormandy menar att det är ganska enkelt att utnyttja sårbarheten, eftersom angripare kan dölja en skadlig länk och lura användaren att klicka på den för att stjäla inloggningsuppgifterna som angavs på den tidigare webbplatsen.
LastPass-representanter kommenterar inte denna situation. För närvarande finns det inga kända fall där denna sårbarhet användes av angripare.
Källa: 3dnews.ru