สัปดาห์ที่แล้ว ผู้พัฒนา LastPass ผู้จัดการรหัสผ่านยอดนิยมออกอัปเดตที่แก้ไขช่องโหว่ที่อาจนำไปสู่การรั่วไหลของข้อมูลผู้ใช้ ปัญหานี้ได้รับการประกาศหลังจากได้รับการแก้ไขแล้ว และผู้ใช้ LastPass ได้รับคำแนะนำให้อัปเดตตัวจัดการรหัสผ่านเป็นเวอร์ชันล่าสุด
เรากำลังพูดถึงช่องโหว่ที่ผู้โจมตีสามารถใช้เพื่อขโมยข้อมูลที่ผู้ใช้ป้อนในเว็บไซต์ล่าสุดที่เข้าชม ปัญหานี้ถูกค้นพบเมื่อเดือนที่แล้วโดย Tavis Ormandy สมาชิกของโครงการ Google Project Zero ซึ่งดำเนินการวิจัยในด้านความปลอดภัยของข้อมูล
LastPass เป็นตัวจัดการรหัสผ่านที่ได้รับความนิยมมากที่สุดในปัจจุบัน นักพัฒนาได้แก้ไขช่องโหว่ที่กล่าวถึงก่อนหน้านี้ในเวอร์ชัน 4.33.0 ซึ่งเผยแพร่สู่สาธารณะในวันที่ 12 กันยายน หากผู้ใช้ไม่ได้ใช้คุณสมบัติการอัปเดตอัตโนมัติของ LastPass ขอแนะนำให้ดาวน์โหลดซอฟต์แวร์เวอร์ชันล่าสุดด้วยตนเอง สิ่งนี้จะต้องดำเนินการโดยเร็วที่สุด เนื่องจากหลังจากแก้ไขช่องโหว่แล้ว นักวิจัยได้เผยแพร่รายละเอียดซึ่งผู้โจมตีสามารถใช้เพื่อขโมยรหัสผ่านจากอุปกรณ์ที่แอปพลิเคชันยังไม่ได้รับการอัปเดต
การใช้ประโยชน์จากช่องโหว่เกี่ยวข้องกับการเรียกใช้โค้ด JavaScript ที่เป็นอันตรายบนอุปกรณ์เป้าหมาย โดยที่ผู้ใช้ไม่ต้องดำเนินการใดๆ ผู้โจมตีสามารถล่อลวงผู้ใช้ไปยังไซต์ที่เป็นอันตรายเพื่อขโมยข้อมูลรับรองที่จัดเก็บไว้ในเครื่องมือจัดการรหัสผ่าน Tavis Ormandy เชื่อว่าการใช้ประโยชน์จากช่องโหว่นั้นค่อนข้างง่าย เนื่องจากผู้โจมตีสามารถปิดบังลิงก์ที่เป็นอันตราย โดยหลอกให้ผู้ใช้คลิกลิงก์เพื่อขโมยข้อมูลประจำตัวที่ป้อนไว้ในไซต์ก่อนหน้านี้
ตัวแทน LastPass จะไม่แสดงความคิดเห็นเกี่ยวกับสถานการณ์นี้ ในขณะนี้ ยังไม่ทราบกรณีที่ผู้โจมตีใช้ช่องโหว่นี้
ที่มา: 3dnews.ru