Geçtiğimiz hafta, popüler şifre yöneticisi LastPass'ın geliştiricileri, kullanıcı verilerinin sızmasına yol açabilecek bir güvenlik açığını gideren bir güncelleme yayınladı. Sorun çözüldükten sonra duyuruldu ve LastPass kullanıcılarına şifre yöneticilerini en son sürüme güncellemeleri önerildi.
Saldırganların kullanıcının son ziyaret ettiği siteye girdiği verileri çalmak için kullanabileceği bir güvenlik açığından bahsediyoruz. Sorun, geçtiğimiz ay bilgi güvenliği alanında araştırmalar yapan Google Project Zero projesi üyesi Tavis Ormandy tarafından keşfedildi.
LastPass şu anda en popüler şifre yöneticisidir. Geliştiriciler, daha önce bahsedilen güvenlik açığını, 4.33.0 Eylül'de halka açık hale gelen 12 sürümünde düzeltti. Kullanıcıların LastPass'ın otomatik güncelleme özelliğini kullanmıyorlarsa yazılımın en son sürümünü manuel olarak indirmeleri önerilir. Bunun mümkün olduğu kadar çabuk yapılması gerekiyor çünkü güvenlik açığı giderildikten sonra araştırmacılar, saldırganların uygulamanın henüz güncellenmediği cihazlardan şifreleri çalmak için kullanabileceği ayrıntılarını yayınladı.
Güvenlik açığından yararlanılması, herhangi bir kullanıcı etkileşimi olmadan hedef cihazda kötü amaçlı JavaScript kodunun yürütülmesini içerir. Saldırganlar, parola yöneticisinde saklanan kimlik bilgilerini çalmak için kullanıcıları kötü amaçlı sitelere yönlendirebilir. Tavis Ormandy, saldırganların kötü amaçlı bir bağlantıyı gizleyip kullanıcıyı kandırıp önceki siteye girilen kimlik bilgilerini çalması için kandırabileceğinden, bu güvenlik açığından yararlanmanın oldukça basit olduğuna inanıyor.
LastPass temsilcileri bu durum hakkında yorum yapmıyor. Şu anda bu güvenlik açığının saldırganlar tarafından kullanıldığı bilinen bir durum bulunmuyor.
Kaynak: 3dnews.ru