Click Studios, Passwordstate yazılımında kritik bir kimlik doğrulama atlatma açığını kapatan güvenlik güncellemelerini yayımladı. Henüz CVE numarası verilmemiş bu yüksek öncelikli zafiyet, 28 Ağustos 2025 tarihinde yayınlanan Passwordstate 9.9 (Build 9972) sürümüyle giderildi.
Acil Erişim Sayfasındaki Güvenlik Açığı
Avustralyalı firma, “core Passwordstate Ürünlerinin Acil Erişim sayfasına yönelik, özel olarak hazırlanmış URL kullanımıyla ortaya çıkan potansiyel kimlik doğrulama atlatma” sorununu çözdüğünü açıkladı. Bu sayfa, kullanıcıların kritik durumlarda erişim sağlaması için tasarlanmıştı ancak saldırganların kötü niyetli URL’ler aracılığıyla kimlik doğrulamasını aşmasına imkan tanıyordu.
Tarayıcı Uzantılarına Clickjacking Koruması
Yeni sürüm ayrıca, kullanıcıların kötü amaçlı web sitelerini ziyaret etmeleri durumunda tarayıcı uzantılarına yönelik DOM tabanlı clickjacking saldırılarına karşı koruma mekanizmaları içeriyor. Bu önlemler, güvenlik araştırmacısı Marek Tóth’un bu ay başında açıkladığı ve birçok parola yöneticisi uzantısının savunmasız olduğu clickjacking tekniğine karşı geliştirildi. Tóth, “Bir saldırganın kontrolündeki bir sitede yapılan herhangi bir tıklama, kullanıcıların kredi kartı, kişisel veriler ve TOTP gibi hassas bilgilerini çalmak için kullanılabilir” dedi.
Geniş Kullanıcı Tabanı ve Geçmiş Güvenlik Olayları
Click Studios’un kimlik bilgisi yöneticisi, dünya genelinde 29.000 müşteri ve 370.000 güvenlik ile BT profesyoneli tarafından tercih ediliyor. Kullanıcılar arasında büyük işletmeler, devlet kurumları, finansal kuruluşlar ve Fortune 500 şirketleri yer alıyor. Bu güncelleme, şirketin yazılım güncelleme mekanizmasının ele geçirilip kötü amaçlı yazılım dağıtımına zemin hazırlayan tedarik zinciri saldırısından dört yıldan fazla süre sonra geldi. Ayrıca Aralık 2022’de, CVE-2022-3875 (CVSS 9.1) kimlik doğrulama atlatma açığını da içeren birden fazla güvenlik açığı kapatılmıştı.