Всего неделю назад эксперт Google Project Zero Тэвис Орманди (Tavis Ormandy) сообщил о нескольких опасных багах в официальных расширениях LastPass для браузеров Chrome и Firefox. Оказалось, что для реализации атаки на пользователя злоумышленнику достаточно заманить его на вредоносный сайт. В итоге атакующий сможет получить доступ ко всем хранящимся в LastPass учетным данным, а в некоторых случаях атака может вообще привести к выполнению произвольного кода на машине жертвы.
Не успели разработчики LastPass устранить предыдущую партию проблем, как Орманди уже нашел новую. Так как патча для этой уязвимости пока нет, Орманди рассказал о баге лишь в общих чертах. Исследователь пишет, что пока он принимал душ, его озарило, и он придумал, как добиться исполнения кода в LastPass 4.1.43.
Ah-ha, I had an epiphany in the shower this morning and realized how to get codeexec in LastPass 4.1.43. Full report and exploit on the way. pic.twitter.com/vQn20D9VCy
— Tavis Ormandy (@taviso) March 25, 2017
Разработчики LastPass пока тоже не раскрывают никаких подробностей. В блоге представители компании пишут, что «данная атака уникальна и очень сложна». Однако до выхода патча они отказываются публиковать детали, относительно самой уязвимости и готовящегося исправления, опасаясь реакции злоумышленников. А пока патч не готов, разработчики советуют пользователям не забывать о LastPass Vault, а также по возможности применять двухфакторную аутентификацию.
При этом представители LastPass поблагодарили Орманди и других исследователей за то, что они помогают поддерживать безопасность LatsPass на должном уровне. Это немаловажный момент, так как многие коллеги критикуют Орманди за то, что зачастую он не ждет выхода патчей и не ожидает положенные 90 дней перед раскрытием информации о багах. Особенно много возмущений спровоцировал именно твит о новом баге в LatsPass. Похоже, некоторые люди не понимают, что на этот раз Орманди не публиковал никаких подробностей и не выкладывал в свободный доступ proof-of-concept эксплоит. Исследователь лишь сообщил, что в LastPass где-то есть уязвимость. Но многие убеждены, что молчать следовало даже об этом.
@stits I fail to see what harm comes from fixing vulnerabilities. It seems like a huge net positive for everyone.
— Tavis Ormandy (@taviso) March 25, 2017
