LastPass, kullanılan son şifreleri açığa çıkaran tehlikeli bir güvenlik hatasını düzeltti

Şu anda en popüler şifre yöneticilerinden biri olan LastPass, şu ana kadarki son kullanılan şifreleri göster. Güvenlik araştırmacısı Google Proje Sıfır ekibinin bir üyesi olan Tavis Ormandy tarafından başvurudan sorumlu olanlara bildirilen hata, geçen hafta yayınlanan 4.33 sürümünde düzeltildi.

Ormandy’nin bulmaya ilişkin bildiriminde açıklandığı gibi güvenlik açığı, bazı durumlarda bir önbellek güncellenmediği için kullanılan en son kimlik bilgilerini açıkladı. Google araştırmacısı bir çizim yapmayı başardı sömürmek Hatadan yararlanabilme JavaScript kodunu çalıştırıyor.

LastPass şifre yöneticisini güncellemeniz şiddetle tavsiye edilir.

“Yüksek önem derecesi” hatası

Bu güvenlik açığı, tüm web sayfalarında çalışmayabilir, ancak keşfi tarafından “yüksek yerçekimi” olarak tanımlandı toplandığı gibi ZDnet. Bunun nedeni, dediğimiz gibi, ancak komut Java ve belirli kaynakların kullanımı.

Saldırgan bir kullanıcıyı kötü niyetli bir sayfaya çekebilir, Google Translate adresinin arkasındaki adresi gizleyebilir ve JavaScript’i çalıştırarak kimlik bilgilerinden yararlanabilir

LastPass tarafından doğrulanan sekmelerin kullandığı kayıt sistemi nedeniyle ortaya çıkan sorun, verileri önbelleğe alındı. Bu gerçeğe dayanarak, bir saldırgan kullanıcıyı Google Translate adresinin arkasındaki adresi gizleyerek kötü niyetli bir sayfaya çekebilir. Bununla ve konsola erişerek, bilgiyi çıkarmak mümkündü.

Şu anda, bu güvenlik açığına ilişkin herhangi bir olay daha önce çözülmemiş olarak bildirilmemiştir, ancak LastPass şifre yöneticisini güncellemeniz şiddetle tavsiye edilir. Daha önce yapılmamışsa.

LastPass, kullanılan son şifreleri açığa çıkaran tehlikeli bir güvenlik hatasını düzeltti