Noong nakaraang linggo, ang mga developer ng sikat na tagapamahala ng password na LastPass ay naglabas ng isang update na nag-aayos ng isang kahinaan na maaaring humantong sa pagtagas ng data ng user. Ang isyu ay inihayag matapos itong malutas at ang mga gumagamit ng LastPass ay pinayuhan na i-update ang kanilang tagapamahala ng password sa pinakabagong bersyon.
Pinag-uusapan natin ang tungkol sa isang kahinaan na maaaring magamit ng mga umaatake upang magnakaw ng data na ipinasok ng user sa huling website na binisita. Ang problema ay natuklasan noong nakaraang buwan ni Tavis Ormandy, isang miyembro ng proyekto ng Google Project Zero, na nagsasagawa ng pananaliksik sa larangan ng seguridad ng impormasyon.
Ang LastPass ay kasalukuyang pinakasikat na tagapamahala ng password. Inayos ng mga developer ang naunang nabanggit na kahinaan sa bersyon 4.33.0, na naging available sa publiko noong Setyembre 12. Kung hindi ginagamit ng mga user ang tampok na awtomatikong pag-update ng LastPass, pinapayuhan silang manu-manong i-download ang pinakabagong bersyon ng software. Kailangan itong gawin nang mabilis hangga't maaari, dahil pagkatapos ayusin ang kahinaan, inilathala ng mga mananaliksik ang mga detalye nito, na maaaring magamit ng mga umaatake upang magnakaw ng mga password mula sa mga device kung saan hindi pa naa-update ang application.
Ang pagsasamantala sa kahinaan ay nagsasangkot ng pagpapatupad ng malisyosong JavaScript code sa target na device, nang walang anumang pakikipag-ugnayan ng user. Maaaring akitin ng mga umaatake ang mga user sa mga nakakahamak na site upang magnakaw ng mga kredensyal na nakaimbak sa isang tagapamahala ng password. Naniniwala si Tavis Ormandy na ang pagsasamantala sa kahinaan ay medyo simple, dahil ang mga umaatake ay maaaring magkaila ng isang nakakahamak na link, na nililinlang ang gumagamit na i-click ito upang nakawin ang mga kredensyal na ipinasok sa nakaraang site.
Ang mga kinatawan ng LastPass ay hindi nagkomento sa sitwasyong ito. Sa ngayon, walang kilalang mga kaso kung saan ang kahinaang ito ay ginamit ng mga umaatake.
Pinagmulan: 3dnews.ru