Ҳафтаи гузашта таҳиягарони менеҷери машҳури парол LastPass навсозиро нашр карданд, ки осебпазириро ислоҳ мекунад, ки метавонад боиси ихроҷи маълумоти корбарон гардад. Масъала пас аз ҳалли он эълон карда шуд ва ба корбарони LastPass тавсия дода шуд, ки мудири пароли худро ба версияи охирин навсозӣ кунанд.
Мо дар бораи осебпазирӣ сухан меронем, ки метавонад аз ҷониби ҳамлагарон барои дуздидани маълумоте, ки корбар дар вебсайти охирин ворид шудааст, истифода шавад. Мушкилотро моҳи гузашта Тавис Ормандӣ, узви тарҳи Google Project Zero, ки дар заминаи амнияти иттилоотӣ пажӯҳиш мекунад, ошкор карда буд.
LastPass айни замон маъмултарин мудири парол мебошад. Таҳиягарон осебпазирии қаблан зикршударо дар версияи 4.33.0 ислоҳ карданд, ки 12 сентябр дастраси умум гардид. Агар корбарон хусусияти навсозии автоматии LastPass-ро истифода набаранд, ба онҳо тавсия дода мешавад, ки версияи охирини нармафзорро дастӣ зеркашӣ кунанд. Ин бояд ҳарчи зудтар анҷом дода шавад, зеро пас аз ислоҳи осебпазирӣ, муҳаққиқон тафсилоти онро нашр карданд, ки ҳамлагарон онҳоро метавонанд барои дуздидани паролҳо аз дастгоҳҳое истифода баранд, ки барнома то ҳол нав карда нашудааст.
Истифодаи осебпазирӣ иҷрои коди зараровари JavaScript-ро дар дастгоҳи мавриди ҳадаф, бидуни ҳеҷ гуна ҳамкории корбар дар бар мегирад. Ҳамлагарон метавонанд корбаронро ба сайтҳои зараровар ҷалб кунанд, то маълумотҳои дар мудири парол нигоҳ дошташударо дузданд. Тавис Ормандӣ бар ин назар аст, ки истифода аз осебпазирӣ хеле содда аст, зеро ҳамлагарон метавонанд як истиноди зарароварро пинҳон карда, корбарро фиреб диҳанд, ки ба он клик кунанд, то маълумоти эътимоднокии дар сайти қаблӣ воридшуда дуздида шаванд.
Намояндагони LastPass ин вазъро шарҳ намедиҳанд. Дар айни замон, ҳолатҳое маълум нест, ки ин осебпазирӣ аз ҷониби ҳамлагарон истифода шудааст.
Манбаъ: 3dnews.ru