Haga clic en Studios, desarrollador de la solución de administración de contraseñas centrada en la empresa, dijo el Estado de contraseña, dijo que ha publicado una actualización de seguridad para abordar una vulnerabilidad de derivación de autenticación de software.
Se ha abordado un problema al que aún no se ha asignado un identificador CVE en contraseña 9.9 (compilación 9972), lanzado el 28 de agosto de 2025.
La compañía australiana dijo que ha solucionado la «potencial de autenticación de la autenticación cuando se usa URL creadas cuidadosamente para páginas de acceso de emergencia para productos básicos del estado de contraseña».
La última versión también incluye protecciones mejoradas para proteger a los usuarios de los posibles ataques de clickjack destinados a las extensiones del navegador si visitan sitios comprometidos.
Safeguard puede estar respondiendo a un hallazgo del investigador de seguridad Marectus que detalló una técnica llamada Documed Object Model (DOM) Clickjacking de extensión basado en este mes a principios de este mes, en el que se encontró que varios complementos del navegador del administrador de contraseñas eran vulnerables.
«Los atacantes ahora pueden robar datos del usuario (datos de la tarjeta de crédito, datos personales y credenciales de inicio de sesión, incluido TOTP) en cualquier lugar de los sitios web controlados por los atacantes», dijo Tóth. «Las nuevas técnicas son comunes y se pueden aplicar a otros tipos de extensiones».
Según Click Studios, el Gerente de Calificación es utilizado por 29,000 clientes y 370,000 profesionales de seguridad y TI, abarca empresas globales, agencias gubernamentales, instituciones financieras y compañías Fortune 500.
Esta divulgación tiene lugar durante cuatro años después de que un atacante sufrió una violación de la cadena de suministro que permitió a los atacantes secuestrar mecanismos de actualización de software para eliminar el malware que podría cosechar información confidencial de sistemas comprometidos.
Luego, en diciembre de 2022, haga clic en Studios también resolvió múltiples fallas de seguridad en el Estado de contraseña, incluida la autenticación que omitió la API del estado de contraseña (CVE-2022-3875, puntaje CVSS: 9.1).
Source link
