Tuần trước, các nhà phát triển trình quản lý mật khẩu phổ biến LastPass đã phát hành bản cập nhật sửa một lỗ hổng có thể dẫn đến rò rỉ dữ liệu người dùng. Sự cố được thông báo sau khi được giải quyết và người dùng LastPass được khuyên nên cập nhật trình quản lý mật khẩu của mình lên phiên bản mới nhất.
Chúng ta đang nói về một lỗ hổng có thể bị kẻ tấn công sử dụng để đánh cắp dữ liệu do người dùng nhập trên trang web truy cập gần đây nhất. Vấn đề được phát hiện vào tháng trước bởi Tavis Ormandy, thành viên của dự án Google Project Zero, chuyên tiến hành nghiên cứu trong lĩnh vực bảo mật thông tin.
LastPass hiện là trình quản lý mật khẩu phổ biến nhất. Các nhà phát triển đã sửa lỗ hổng được đề cập trước đó trong phiên bản 4.33.0, được phát hành rộng rãi vào ngày 12 tháng XNUMX. Nếu người dùng không sử dụng tính năng cập nhật tự động của LastPass, họ nên tải xuống phiên bản mới nhất của phần mềm theo cách thủ công. Điều này cần phải được thực hiện càng nhanh càng tốt, vì sau khi sửa lỗ hổng, các nhà nghiên cứu đã công bố thông tin chi tiết về nó, những thông tin chi tiết này có thể bị kẻ tấn công sử dụng để đánh cắp mật khẩu từ các thiết bị chưa cập nhật ứng dụng.
Việc khai thác lỗ hổng liên quan đến việc thực thi mã JavaScript độc hại trên thiết bị mục tiêu mà không có bất kỳ sự tương tác nào của người dùng. Những kẻ tấn công có thể dụ người dùng đến các trang web độc hại để đánh cắp thông tin đăng nhập được lưu trong trình quản lý mật khẩu. Tavis Ormandy tin rằng việc khai thác lỗ hổng này khá đơn giản vì kẻ tấn công có thể ngụy trang một liên kết độc hại, lừa người dùng nhấp vào liên kết đó để lấy cắp thông tin đăng nhập đã được nhập trên trang web trước đó.
Đại diện LastPass không bình luận về tình huống này. Hiện tại, chưa có trường hợp nào lỗ hổng này được kẻ tấn công sử dụng.
Nguồn: 3dnews.ru