Минулого тижня розробники популярного менеджера паролів LastPass випустили оновлення, що усуває вразливість, яка могла призвести до витоку даних користувача. Про проблему було оголошено після того, як її було вирішено, а користувачам LastPass рекомендовано оновити менеджер паролів до останньої версії.
Йдеться про вразливість, за допомогою якої зловмисники могли вкрасти дані, введені користувачем на останньому відвіданому веб-сайті. Проблему минулого місяця виявив Тавіс Орманді (Tavis Ormandy), який є учасником проекту Google Project Zero, в рамках якого відбуваються дослідження у сфері інформаційної безпеки.
В даний час LastPass є найпопулярнішим менеджером паролів. Розробники усунули згадану вразливість у версії 4.33.0, яка з'явилася у відкритому доступі 12 вересня. Якщо користувачі не використовують функцію автоматичного оновлення LastPass, рекомендується скачати актуальну версію ПЗ вручну. Зробити це потрібно якнайшвидше, оскільки після виправлення вразливості дослідники опублікували її подробиці, які можуть використовуватися зловмисниками для крадіжки паролів з пристроїв, на яких програма ще не була оновлена.
Експлуатація вразливості пов'язана з виконанням шкідливого коду JavaScript на цільовому пристрої без будь-якої взаємодії з користувачем. Зловмисники можуть заманювати користувачів на шкідливі сайти для викрадення облікових даних, що зберігаються в менеджері паролів. Тавіс Орманді вважає, що використовувати вразливість досить просто, оскільки зловмисники можуть замаскувати шкідливе посилання, обманом змусивши користувача перейти по ньому для крадіжки облікових даних, які були введені на попередньому сайті.
Представники LastPass не коментують цю ситуацію. На даний момент не відомо про випадки, коли ця уразливість використовувалася зловмисниками.
Джерело: 3dnews.ru