Wiki iliyopita, watengenezaji wa meneja maarufu wa nenosiri LastPass walitoa sasisho ambalo hurekebisha hatari ambayo inaweza kusababisha kuvuja kwa data ya mtumiaji. Suala hilo lilitangazwa baada ya kutatuliwa na watumiaji wa LastPass walishauriwa kusasisha kidhibiti chao cha nenosiri hadi toleo jipya zaidi.
Tunazungumza kuhusu athari ambayo inaweza kutumiwa na wavamizi kuiba data iliyoingizwa na mtumiaji kwenye tovuti iliyotembelewa mara ya mwisho. Tatizo liligunduliwa mwezi uliopita na Tavis Ormandy, mwanachama wa mradi wa Google Project Zero, ambao hufanya utafiti katika uwanja wa usalama wa habari.
LastPass kwa sasa ndiye msimamizi maarufu wa nenosiri kwa sasa. Wasanidi programu walirekebisha athari iliyotajwa hapo awali katika toleo la 4.33.0, ambalo lilianza kupatikana kwa umma mnamo Septemba 12. Ikiwa watumiaji hawatumii kipengele cha kusasisha kiotomatiki cha LastPass, wanashauriwa kupakua kwa mikono toleo la hivi punde la programu. Hii inahitaji kufanywa haraka iwezekanavyo, kwa sababu baada ya kurekebisha athari, watafiti walichapisha maelezo yake, ambayo yanaweza kutumiwa na washambuliaji kuiba nywila kutoka kwa vifaa ambavyo programu bado haijasasishwa.
Utumiaji wa athari hujumuisha utekelezaji wa msimbo hasidi wa JavaScript kwenye kifaa lengwa, bila mwingiliano wowote wa mtumiaji. Wavamizi wanaweza kuwavutia watumiaji kwenye tovuti hasidi ili kuiba vitambulisho vilivyohifadhiwa kwenye kidhibiti cha nenosiri. Tavis Ormandy anaamini kuwa kutumia athari ni rahisi sana, kwa kuwa washambuliaji wanaweza kuficha kiungo hasidi, na kumlaghai mtumiaji ili kubofya ili kuiba vitambulisho vilivyowekwa kwenye tovuti ya awali.
Wawakilishi wa LastPass hawatoi maoni juu ya hali hii. Kwa sasa, hakuna matukio yanayojulikana ambapo athari hii ilitumiwa na washambuliaji.
Chanzo: 3dnews.ru