Şifre gibi son derece mühim bir kategoride en iyilerden olan şifre yöneticisi Lastpass güvenlik açığını düzeltti.
LastPass’daki parola yöneticisi LastPassFree, uygulamanın tarayıcı uzantılarının çoğunu etkileyen iki güvenlik açığı düzeltti. Ancak şirket, bilgisayar korsanları tarafından bu güvenlik açığından yararlanan bir rapor bulunmadığını ve kullanıcıların kayıtlı şifrelerini değiştirmelerine gerek olmadığını söyledi.
Google güvenlik araştırmacısı Tavis Ormandy’nin bu ayın başlarında keşfedilen güvenlik açıkları, kötü amaçlı web sitelerinin kullanıcıların LastPass hesaplarında kaydettikleri site kimlik bilgilerini çalmasına ilişkin söylentiler çıktı. LastPass, :” kullanıcıları kötü niyetli bir siteye yönlendirdikten sonra bir saldırgan, daha sonra LastPass API’lerine erişebilir ve güvenilir bir parti olarak görünürken rasgele kod çalıştırabilir.” diye açıklamada bulundu.
Güvenlik açıklarından biri, Firefox tarayıcısının eski bir sürümü için LastPass tarayıcı uzantısını etkilerken diğeri Edge, Chrome ve Firefox için LastPass uzantısının tüm sürümlerini etkilemekte.
LastPass, tarayıcı uzantısını, bir blog yayınında deneysel bir “tüketici onboard özelliği” ile ilgili bir sorun olarak nitelendirdiği ikinci hatayı kaldırmak üzere güncellediğini söyledi. Çarşamba öğleden sonraki güncellenmiş güncellemeler Firefox ve Chrome tarayıcıları için geçerli olmakla birlikte Kenar güncellemesi şu anda uygulama mağazası onayını bekliyor.
Şirketin yayınladığı yazıya göre, “Bildirilen güvenlik açıklarının herhangi birinden yasadığı alınmış olduğuna dair herhangi bir gösterimiz yok, ancak şu anda onaylamak için kapsamlı bir inceleme yapıyoruz” dedi. Şimdilik, şifre değişiklikleri yapılmasına gerek olmadığını söyledi.
Kötü amaçlı web sitelerini kullanıcıları kandırmak için kullanan saldırganların tehdidi yeni bir şey olmamakla birlikte, yazılımları sayısız web sitesi ve hizmet için şifreleri ve diğer kimlik bilgilerini depolamak üzere tasarlanan LastPass gibi şirketler için özellikle endişe vericidir. Şirket, deneysel özellikler için kod inceleme sürecini gözden geçirmekte ve güvenliği güçlendirdiğini açıkladı.
