Критические уязвимости были найдены в LastPass, популярном менеджере паролей для Chrome и Firefox

В прошлом году исследователь Google Project Zero Тэвис Орманди (Tavis Ormandy) уже находил несколько «очевидных» проблем с безопасностью у популярного приложения для управления паролями LastPass, теперь ему удалось сделать это еще раз. Сначала Орманди обнаружил уязвимость в одной из версий расширения для Firefox, затем он нашел баг, который влиял как на Chrome, так и на Firefox, после этого Тэвис обнаружил третью уязвимость, из-за которой появлялась возможность «украсть пароли с любого домена».

Первая уязвимость еще не была исправлена. По словам Орманди, задержка возникла из-за того, что Mozilla нужно время для проверки обновленного расширения перед тем, как выпустить его. Он сообщил, что с её помощью можно получить доступ к паролям жертвы, но пока не предоставил деталей.

Вторая и третья уязвимости также позволяли злоумышленникам воровать пароли, а если у пользователя была установлена бинарная версия расширения, ещё и запускать любой код на машине жертвы. Так, например, Орманди удалось запустить калькулятор на чужом компьютере.

Компания уже исправила последние две уязвимости и подготовила подробный отчёт, прочитать который можно в её официальном блоге.

 Источник: Engadget