В LastPass исправили баг, приводивший к утечке учетных данных

На прошлой неделе разработчики обновили менеджер паролей LastPass. Как выяснилось теперь, обновление до версии 4.33.0 исправило опасный баг, обнаруженный экспертом Google Project Zero Тэвисом Орманди (Tavis Ormandy). Уязвимость допускала утечку учетных данных, введенных на ранее посещенном сайте, и разработчики LastPass сообщают, что проблема затрагивала расширения для браузеров Chrome и Opera.

Орманди рассказывает, что при помощи кликджекинга злоумышленники могли извлекать учетные данные от посещенного ранее сайта, применяя для этого кликджекинг, iframe’ы и перенаправляя пользователей LastPass на скомпрометированные или вредоносные сайты. Исследователь отмечает, что это не так сложно, как кажется, поскольку атакующий может, к примеру, замаскировать вредоносную ссылку за URL-адресом Google Translate.

Проще говоря, если жертва посещала сайт A, и учетные данные вводились с помощью LastPass, а затем  жертва переходила на сайт B, через последний можно было получить доступ к учетным данным сайта A.

Хотя эксплуатация бага требовала, чтобы жертва ввела учетные данные, воспользовавшись иконкой LastPass, посетила взломанный или вредоносный сайт, а также несколько раз кликнула по странице, разработчики охарактеризовали баг как весьма серьезный и поспешили выпустить «заплатку».

Так как Орманди уведомил компанию о проблеме в частном порядке, и баг быстро устранили, сообщается, что никаких признаков эксплуатации этой уязвимости злоумышленниками обнаружено не было.

Мария Нефёдова: Блондинка, гик, книжный червь, синефил. Редактор ленты новостей; иногда автор Сцены.

Комментарии (1)