Το LastPass password manager κυκλοφόρησε μια ενημερωμένη έκδοση την περασμένη εβδομάδα, για να διορθώσει ένα σφάλμα ασφαλείας το οποίο αποκαλύπτει τα credentials που έχουν εισαχθεί σε έναν ιστότοπο που επισκέφθηκε ο χρήστης προηγουμένως.
Ο Tavis Ormandy, ένας ερευνητής ασφάλειας της ομάδας Project Zero of Google, ήταν ο πρώτος που ανακάλυψε το συγκεκριμένο bug.
Το LastPass, που πιστεύεται ότι είναι η πιο δημοφιλής εφαρμογή password manager, κυκλοφόρησε την έκδοση 4.33.0 την περασμένη εβδομάδα, για να αντιμετωπίσει το θέμα με τη διαρροή των διαπιστευτηρίων.
Όσοι από τους χρήστε δεν έχουν ενεργοποιημένη την αυτόματη ενημέρωση για το LastPass ή τις εφαρμογές του για κινητά, συνιστάται να πραγματοποιήσουν μια χειροκίνητη ενημέρωση το συντομότερο δυνατό, αφού μετά τις λεπτομέρειες που δημοσιεύτηκαν για το ελάττωμα ασφαλείας, ένας εισβολέας μπορεί να εκμεταλλευτεί τα βήματα που περιγράφονται για την αναπαραγωγή του σφάλματος.
Δεδομένου ότι το σφάλμα βασίζεται αποκλειστικά στην εκτέλεση κακόβουλου κώδικα JavaScript, χωρίς να απαιτεί άλλη αλληλεπίδραση χρήστη, θεωρείται επικίνδυνο και ενδεχομένως εκμεταλλεύσιμο.
Οι επιτιθέμενοι θα μπορούσαν να προσελκύσουν χρήστες σε κακόβουλες Pages και να εκμεταλλευτούν την ευπάθεια για να εξαγάγουν τα διαπιστευτήρια που έχουν εισαχθεί σε ιστότοπους που επισκέφθηκαν προηγουμένως. Σύμφωνα με τον Ormandy, αυτό δεν είναι τόσο δύσκολο όσο ακούγεται, καθώς ένας επιτιθέμενος θα μπορούσε εύκολα να μεταμφιέσει έναν κακόβουλο σύνδεσμο πίσω από μια διεύθυνση URL of Google Translate, να ξεγελάσει τους χρήστες να επισκεφτούν τον σύνδεσμο και στη συνέχεια να εξαγάγει τα διαπιστευτήρια από έναν ιστότοπο που επισκέφθηκαν στο παρελθόν.
Προς το παρόν δεν υπάρχουν ενδείξεις ότι η εν λόγω vulnerability έχει εκμεταλλευτεί από scammers.
Παρά την πρόσφατα ανακαλυφθείσα ευπάθεια, οι χρήστες δεν συνίσταται να σταματήσουν να χρησιμοποιούν τον password manager. Πρόκειται για ένα σφάλμα που μπορεί να διορθωθεί και η χρήση των password manager είναι πολύ πιο ασφαλής από το αφήνουμε απλά τους κωδικούς αποθηκευμένους στον browser, από όπου είναι πολύ πιο εύκολο να κλαπούν από επιτήδιους.
