Ünlü Parola Yöneticisi LastPass’de Kritik Zafiyetler Tespit Edildi

Ünlü Parola Yöneticisi LastPass’de Kritik Zafiyetler Tespit Edildi
Mart 26 10:54 2017 Yazıyı Yazdır

Google’ın Project Zero takımında görev yapan Travis Ormandy isimli siber güvenlik araştırmacısı, ünlü parola yöneticisi LastPass‘de açık keşfetti. Ormany tarafından tespit edilen açık sayesinde hacker’lar, tüm parolalara erişebiliyor.

Yazılımın 3.3.2 sürümünde bulunan bu hatanın LastPass çalışanları tarafından yapılan açıklamaya göre, bir sonraki sürümde kapatılması bekleniyor. Ancak problem sadece bu hatanın kapatılmasıyla da bitmiyor. Ormandy, uygulamaya ait bir başka bug daha bulmuş durumda.

Ormandy ayrıca LastPass’in 4.1.42 sürümünde de benzer bir hatanın bulunduğu, yine bu hatanın kullanılması halinde kullanıcılara ait parolaların ele geçirilebileceğini bildirdi. Google Project Zero uzmanlarına göre bu zafiyet ise yazılımın bugüne kadar yaşadığı en büyük probleme kapı açabilir.

Yazılımın eklentisine ait binary sürümün kullanılması halinde herhangi bir domain üzerinden kullanıcının tüm parolalarına erişilebiliyor. Ormandy, bu durumu Proof of Concept (POC) ile de ayrıntılı bir şekilde açıklayarak, kullanıcıların ve LastPass çalışanlarının konu hakkında gerekli bilgi ve farkındalığa sahip olmalarını amaçlamış.

Eğer siz de LastPass’ın bu sürümlerinden birini kullanıyorsanız, yeni sürüm ya da yama çıkması halinde hemen gerekli güncellemeyi yapmalısınız.

Parola yöneticileri her ne kadar birçok site için farklı parolaları tek tek hatırlama zorunluluğunu ortadan kaldırıp, zamandan tasarruf sağlasa da bu gibi açıklar sayesinde tüm parolaların, dolayısıyla da hesapların ele geçirilmesine sebep olabiliyor. Bu yüzden sürekli olarak ilgili yazılımların resmi sitelerini ziyaret etmekte, herhangi bir güncelleme olup olmadığını kontrol etmekte fayda bulunuyor.

  Kategori:
daha fazla yazı

Yazar Hakkında

Atalay Keleştemur
Atalay Keleştemur

Atalay Keleştemur, siber istihbarat analisti ve PHP güvenlik uzmanı olarak görev yapmaktadır. Linux ve özgür yazılım gönüllüsüdür. Çeşitli kurumlarda sistem yöneticisi ve yazılım geliştiricisi olarak çalışmıştır. Siber İstihbarat isimli kitabın yazarıdır.

Daha Fazla Yazı
yorum yapın

Yorum Yok

Henüz yorum yapılmamış

İlk yorumu siz yapabilirsiniz.

Yorum ekleyin

Bilgileriniz güvende! E-posta adresiniz yayınlanmayacak. Diğer kişisel bilgileriniz üçüncü partilerle paylaşılmayacak.
* işaretli alanlar zorunludur.

Time limit is exhausted. Please reload CAPTCHA.