O'tgan haftada mashhur LastPass parol menejeri ishlab chiquvchilari foydalanuvchi ma'lumotlarining sizib chiqishiga olib kelishi mumkin bo'lgan zaiflikni tuzatuvchi yangilanishni chiqarishdi. Muammo hal qilinganidan keyin e'lon qilindi va LastPass foydalanuvchilariga parol menejerini so'nggi versiyaga yangilash tavsiya qilindi.
Biz oxirgi tashrif buyurgan veb-saytga foydalanuvchi tomonidan kiritilgan ma'lumotlarni o'g'irlash uchun tajovuzkorlar tomonidan ishlatilishi mumkin bo'lgan zaiflik haqida gapiramiz. Muammoni o‘tgan oy Google Project Zero loyihasi a’zosi, axborot xavfsizligi sohasida tadqiqot olib boruvchi Tavis Ormandi aniqlagan edi.
LastPass hozirda eng mashhur parol menejeri hisoblanadi. Ishlab chiquvchilar 4.33.0-sentabrda ommaga ochiq bo‘lgan 12 versiyasida avval aytib o‘tilgan zaiflikni tuzatdilar. Agar foydalanuvchilar LastPass-ning avtomatik yangilash xususiyatidan foydalanmasalar, ularga dasturiy ta'minotning so'nggi versiyasini qo'lda yuklab olish tavsiya etiladi. Buni imkon qadar tezroq qilish kerak, chunki zaiflikni tuzatgandan so'ng, tadqiqotchilar uning tafsilotlarini e'lon qilishdi, bu esa tajovuzkorlar tomonidan ilova hali yangilanmagan qurilmalardan parollarni o'g'irlash uchun ishlatilishi mumkin.
Zaiflikdan foydalanish maqsadli qurilmada hech qanday foydalanuvchi shovqinisiz zararli JavaScript kodini bajarishni o'z ichiga oladi. Buzg'unchilar parol menejerida saqlangan hisob ma'lumotlarini o'g'irlash uchun foydalanuvchilarni zararli saytlarga jalb qilishlari mumkin. Tavis Ormandining fikricha, zaiflikdan foydalanish juda oddiy, chunki tajovuzkorlar zararli havolani yashirib, foydalanuvchini aldab, avvalgi saytga kiritilgan hisob ma'lumotlarini o'g'irlashi mumkin.
LastPass vakillari bu vaziyatga izoh berishmaydi. Ayni paytda ushbu zaiflikdan hujumchilar tomonidan foydalanilgan holatlar mavjud emas.
Manba: 3dnews.ru