В LastPass закрыты новые лазейки для кражи паролей




В популярном менеджере паролей LastPass пропатчены три уязвимости, грозившие кражей паролей. Как пишет Threatpost, бреши, о которых разработчику LastPass сообщил Тэвис Орманди (Tavis Ormandy) из Google Project Zero, были закрыты в течение суток.

«Получив уведомление и PoC (две строки JavaScript) для RCE-бага в расширении Chrome 4.1.42.80, компания поблагодарила исследователя за находку и сразу занялась изучением проблемы. В блог-записи от 22 марта разработчик подтвердил наличие уязвимости во всех LastPass-клиентах, Chrome, Firefox и Edge, пояснив, что она возникла из-за запуска «экспериментальной функции сопровождения новых пользователей».

Орманди со своей стороны пишет в отчете, что виновником появления данной уязвимости являлся websiteconnector.js, который, как оказалось, был способен проксировать неаутентифицированные оконные сообщения расширению. Такая особенность позволяла получить доступ к внутренним RPC-командам (вызова удаленных процедур) LastPass и заставить клиент выполнять их, в том числе копировать пароли и заполнять соответствующее поле веб-форм. В том случае, если у пользователя был установлен LastPass Binary Component, злоумышленник мог также выполнить произвольный код с помощью команды openattach.

Параллельно Орманди обнаружил в LastPass для Firefox уязвимость, тоже позволявшую скомпрометировать все сохраненные пароли, но в этом клиенте, согласно описанию, она была вызвана иной причиной. Список вызовов процедур в Firefox-аддоне совершенно другой, нежели в LastPass для Chrome, и среди них Орманди обнаружил процедуру ResetScript, способную загружать URL, а затем запускать произвольный скрипт на этой странице...»

Скачать: LastPass

Автор: Softodrom.ru
Дата:


» Оставьте первым свой комментарий


Новости > Программы > В LastPass закрыты новые лазейки для кражи паролей
Все рубрики статей:
Топ-сегодня: Программы
Глава Роскомнадзора прокомментировал использование Telegram чиновниками после блокировки
Глава Роскомнадзора Александр Жаров прокомментировал тот факт, что некоторые чиновники продолжают пользоваться мессенджером Telegram после решения суда о его блокировке в России
Microsoft откажется от поддержки Flash, Shockwave и Silverlight в Office 365
Microsoft полностью заблокирует использование Flash, Shockwave и Silverlight в программах семейства Office 365
Глава Роскомнадзора назвал «пиратской» философию создателей Telegram‍
Создатели мессенджера Telegram придерживаются пиратской философии, как когда-то и социальная сеть «ВКонтакте»
Глава Роскомнадзора рассказал о роли Microsoft и Google в блокировке Telegram
Компании Microsoft и Google, с которыми ведет переговоры Роскомнадзор, предприняли шаги для ограничения работы Telegram в России
Прокси-расширение SurfEasy теперь доступно в Opera
Расширение SurfEasy повышает защиту браузера Opera для более безопасной передачи персональных данных
Новые статьи: Программы
Глава Роскомнадзора прокомментировал использование Telegram чиновниками после блокировки
Глава Роскомнадзора Александр Жаров прокомментировал тот факт, что некоторые чиновники продолжают пользоваться мессенджером Telegram после решения суда о его блокировке в России
Глава Роскомнадзора назвал «пиратской» философию создателей Telegram‍
Создатели мессенджера Telegram придерживаются пиратской философии, как когда-то и социальная сеть «ВКонтакте»
Microsoft откажется от поддержки Flash, Shockwave и Silverlight в Office 365
Microsoft полностью заблокирует использование Flash, Shockwave и Silverlight в программах семейства Office 365
Глава Роскомнадзора рассказал о роли Microsoft и Google в блокировке Telegram
Компании Microsoft и Google, с которыми ведет переговоры Роскомнадзор, предприняли шаги для ограничения работы Telegram в России
Браузер Google Chrome откажется от значка «защищено»
По словам представителей Google, нововведения отражают тот факт, что HTTPS становится нормой, и мигрировать с HTTP на HTTPS как никогда дешево и легко

Статистика | Рейтинги | Авторам | Реклама
Copyright © 1999-2018 Softodrom.ru
О перепечатках | Рассылки | Пользовательское соглашение | Политика конфиденциальности | О проекте | Карта сайта
В Опере нет автоматического способа добавить поиск по Софтодрому.
Чтобы вручную добавить поиск по Софтодрому, нужно сделать следующее:
  1. Нажать Ctrl+F12.
  2. Выбрать вкладку «Поиск».
  3. Нажать «Добавить» (Add).
  4. В появившемся окне:
    1. Заполнить название (Softodrom.ru).
    2. Заполнить адрес: https://www.softodrom.ru/Поиск/?text=%s&qs
      Если нет поля «адрес», то кликнуть на «Подробнее».
    3. Остальные поля заполнить по желанию.
  5. Нажать «ОК».