Компанията зад популярния мениджър на пароли LastPass съобщи, че са поправили сериозна уязвимост, която е позволявала на сайт да достигне кредитивите за вписване от предишна страница, която потребителят е посетил. Човекът открил проблема е небезизвестният Тавис Орманди от Google Project Zero, проект, чиято мисия е да открива и докладва дупки в популярни софтуерни решения.

Той публикува подробности за уязвимостта в края на миналия месец, категоризирайки проблема като високорисков. След това се появява и в социалната мрежа Twitter, за да предупреди за съществуващия риск. „LastPass може да изпусне последно използваните данни за вписване, заради необновен кеш“, алармира Орманди. „Това се случва, понеже понеже може да се попречи на таба с кеша, свързан с кредитивите да бъде запълнрн чрез включване на логин формата по неочакван начин!“. Или с други думи, попълвайки името и паролата си в един сайт и след това отивайки към друг, вторият сайт може да получи въпросните данни от първия сайт. И разбира се, ако последният е изготвен от злосторници, паролата ви за първия сайт, става тяхна собственост. От LastPass са се справили с проблема още на 13-ти този месец, но омаловажават сериозността на направения от тях пропуск.

„Експлоатирането на този бъг изисква серия от действия, които трябва да бъдат предприети от ползващия LastPass, в това число попълването на паролата с иконата на LastPass, а след това посещаването на зловреден сайт, а след това кликането по страницата няколко пъти“, обяснява в блог публикация Ференц Кун от инженерния екип по сигурността в LastPass. Той добавя, че проблемът е разрешен във всички браузъри, макар и той да засяга конкретно единствено Opera и Chrome. От потребителите не се изисква извършването на някакво действие – браузърното разширение ще се обнови само.

ДОБАВИ КОМЕНТАР

avatar
  Абонирай се  
Извести ме за