Критические уязвимости были найдены в LastPass, популярном менеджере паролей для Chrome и Firefox
Новости Отредактировано
1К открытий1К показов
В прошлом году исследователь Google Project Zero Тэвис Орманди (Tavis Ormandy) уже находил несколько «очевидных» проблем с безопасностью у популярного приложения для управления паролями LastPass, теперь ему удалось сделать это еще раз. Сначала Орманди обнаружил уязвимость в одной из версий расширения для Firefox, затем он нашел баг, который влиял как на Chrome, так и на Firefox, после этого Тэвис обнаружил третью уязвимость, из-за которой появлялась возможность «украсть пароли с любого домена».
Первая уязвимость еще не была исправлена. По словам Орманди, задержка возникла из-за того, что Mozilla нужно время для проверки обновленного расширения перед тем, как выпустить его. Он сообщил, что с её помощью можно получить доступ к паролям жертвы, но пока не предоставил деталей.
Вторая и третья уязвимости также позволяли злоумышленникам воровать пароли, а если у пользователя была установлена бинарная версия расширения, ещё и запускать любой код на машине жертвы. Так, например, Орманди удалось запустить калькулятор на чужом компьютере.
Компания уже исправила последние две уязвимости и подготовила подробный отчёт, прочитать который можно в её официальном блоге.
1К открытий1К показов