0-day propust u menadžeru lozinki LastPass može dovesti do kompromitovanja naloga

Vesti, 28.07.2016, 08:00 AM

0-day propust u popularnom menadžeru lozinki LastPass može biti iskorišćen kada korisnik poseti maliciozni sajt, omogućavajući hakerima da kompromituju korisnikov nalog i sve osetljive informacije koje on sadrži.

Do ovog otkrića je došao bezbednosni istraživač Google Project Zero tima, Tavis Ormandy.

Osim ovog bezbednosnog propusta, on je otkrio i niz kritičnih propusta, ali detalje o svom otkriću nije objavio jer je pružio priliku programerima da isprave ove propuste.

Za sada nema naznaka da je 0-day propust koji je otkrio Ormandy ikada korišćen u napadima.

Komentari na Twitteru pokazali su kako se mnogi korisnici klone LastPassa, jer ne veruju servisu koji čuva lozinke u oblaku, a neki od njih koji se bave bezbednošću softvera pronalazili su propuste u LastPassu za koje kažu da ne veruju da su uopšte ispravljeni.

Sudeći po komentarima, mnogi korisnici koriste 1Password, pa su zatražili od Ormandyja da analizira i ovaj program, a on je obećao da će to uraditi. Drugi su Ormandyju predložili da proveri Enpass, KePass, PasswordSafe i Dashlane Password Manager.

LastPass se oglasio ovim povodom i objavio nešto više detalja o ovom 0-day propustu i drugim propustima koji su sada ispravljeni.