پچھلے ہفتے، مقبول پاس ورڈ مینیجر LastPass کے ڈویلپرز نے ایک اپ ڈیٹ جاری کیا جو ایک ایسے خطرے کو ٹھیک کرتا ہے جو صارف کے ڈیٹا کے لیک ہونے کا باعث بن سکتا ہے۔ اس مسئلے کے حل ہونے کے بعد اس کا اعلان کیا گیا اور LastPass صارفین کو مشورہ دیا گیا کہ وہ اپنے پاس ورڈ مینیجر کو تازہ ترین ورژن میں اپ ڈیٹ کریں۔
ہم ایک ایسے خطرے کے بارے میں بات کر رہے ہیں جسے حملہ آور استعمال کرنے والے صارف کی طرف سے آخری ویب سائٹ پر داخل کردہ ڈیٹا کو چرانے کے لیے استعمال کر سکتے ہیں۔ یہ مسئلہ گزشتہ ماہ گوگل پروجیکٹ زیرو پروجیکٹ کے رکن Tavis Ormandy نے دریافت کیا تھا، جو معلومات کی حفاظت کے شعبے میں تحقیق کرتا ہے۔
LastPass اس وقت سب سے مشہور پاس ورڈ مینیجر ہے۔ ڈویلپرز نے ورژن 4.33.0 میں پہلے بیان کردہ خطرے کو ٹھیک کیا، جو 12 ستمبر کو عوامی طور پر دستیاب ہوا۔ اگر صارفین LastPass کی خودکار اپ ڈیٹ کی خصوصیت استعمال نہیں کرتے ہیں، تو انہیں سافٹ ویئر کا تازہ ترین ورژن دستی طور پر ڈاؤن لوڈ کرنے کا مشورہ دیا جاتا ہے۔ اسے جلد از جلد کرنے کی ضرورت ہے، کیونکہ خطرے کو ٹھیک کرنے کے بعد، محققین نے اس کی تفصیلات شائع کیں، جنہیں حملہ آور ان ڈیوائسز سے پاس ورڈ چرانے کے لیے استعمال کر سکتے ہیں جن پر ایپلی کیشن کو ابھی تک اپ ڈیٹ نہیں کیا گیا ہے۔
خطرے سے فائدہ اٹھانے میں ٹارگٹ ڈیوائس پر نقصان دہ JavaScript کوڈ کا نفاذ شامل ہے، بغیر کسی صارف کے تعامل کے۔ حملہ آور پاس ورڈ مینیجر میں محفوظ کردہ اسناد چرانے کے لیے صارفین کو بدنیتی پر مبنی سائٹس کی طرف راغب کر سکتے ہیں۔ Tavis Ormandy کا خیال ہے کہ کمزوری کا فائدہ اٹھانا بہت آسان ہے، کیونکہ حملہ آور ایک بدنیتی پر مبنی لنک کو چھپا کر صارف کو اس پر کلک کرنے کے لیے دھوکہ دے کر پچھلی سائٹ پر درج کردہ اسناد چرا سکتے ہیں۔
LastPass کے نمائندے اس صورتحال پر تبصرہ نہیں کرتے۔ اس وقت، کوئی معلوم کیس نہیں ہے جہاں اس خطرے کو حملہ آوروں نے استعمال کیا ہو۔
ماخذ: 3dnews.ru