В LastPass закрыты новые лазейки для кражи паролей


В популярном менеджере паролей LastPass пропатчены три уязвимости, грозившие кражей паролей. Как пишет Threatpost, бреши, о которых разработчику LastPass сообщил Тэвис Орманди (Tavis Ormandy) из Google Project Zero, были закрыты в течение суток.

«Получив уведомление и PoC (две строки JavaScript) для RCE-бага в расширении Chrome 4.1.42.80, компания поблагодарила исследователя за находку и сразу занялась изучением проблемы. В блог-записи от 22 марта разработчик подтвердил наличие уязвимости во всех LastPass-клиентах, Chrome, Firefox и Edge, пояснив, что она возникла из-за запуска «экспериментальной функции сопровождения новых пользователей».

Орманди со своей стороны пишет в отчете, что виновником появления данной уязвимости являлся websiteconnector.js, который, как оказалось, был способен проксировать неаутентифицированные оконные сообщения расширению. Такая особенность позволяла получить доступ к внутренним RPC-командам (вызова удаленных процедур) LastPass и заставить клиент выполнять их, в том числе копировать пароли и заполнять соответствующее поле веб-форм. В том случае, если у пользователя был установлен LastPass Binary Component, злоумышленник мог также выполнить произвольный код с помощью команды openattach.

Параллельно Орманди обнаружил в LastPass для Firefox уязвимость, тоже позволявшую скомпрометировать все сохраненные пароли, но в этом клиенте, согласно описанию, она была вызвана иной причиной. Список вызовов процедур в Firefox-аддоне совершенно другой, нежели в LastPass для Chrome, и среди них Орманди обнаружил процедуру ResetScript, способную загружать URL, а затем запускать произвольный скрипт на этой странице...»

Скачать: LastPass
Автор: Softodrom.ru
Дата: 24.03.2017


» Оставьте первым свой комментарий

Новости > Программы > В LastPass закрыты новые лазейки для кражи паролей
Все рубрики Новостей:
Топ-сегодня раздела Программы
Самые популярные программы
150 самых популярных программ софткаталога Softodrom.ru
Лучшие бесплатные программы 2007 года
Softodrom.ru: 20 лучших бесплатных программ 2007 года
В Opera 39 появились настраиваемые списки блокировки рекламы
В вышедшем браузере Opera 39 просмотр видео и чтение новостей стали еще удобнее, а также появились другие новые функции
Определитель имени звонящего абонента Truecaller вышел для Windows Phone
Мобильное приложение Truecaller стало доступно для Windows Phone 8.1
CLCL - Менеджер буфера обмена
Обзор бесплатной программы CLCL, расширяющей возможности буфера обмена Windows
Новинки раздела Программы
Без версии для Sailfish — не отечественное
В требования к российскому софту предлагают добавить совместимость с еще одной операционной системой
В ICQ появилась поддержка сервиса автоматизации IFTTT
Теперь пользователь может упростить публикацию контента в лайвчаты и каналы одновременно с другими социальными сетями и приложениями
Центробанк создаст P2P-платформу моментальных платежей и переводов граждан
Пользователи смогут проводить платежи в пользу других физических лиц, а также для оплаты товаров и услуг
Tele2 запустит в России приложение для коллективного просмотра видео
Dabkick предлагает принципиально новый подход к общению, приходящий на смену традиционным голосовым вызовам и видеозвонкам
«Яндекс» запустил сервис платных медицинских консультаций
С врачом можно переписываться в чате или говорить по видеосвязи
Copyright © 1999-2017 Softodrom.ru
О перепечатках | RSS каналы | Рассылки | Пользовательское соглашение | Политика конфиденциальности | О проекте | Карта сайта
В Опере нет автоматического способа добавить поиск по Софтодрому.
Чтобы вручную добавить поиск по Софтодрому, нужно сделать следующее:
  1. Нажать Ctrl+F12.
  2. Выбрать вкладку «Поиск».
  3. Нажать «Добавить» (Add).
  4. В появившемся окне:
    1. Заполнить название (Softodrom.ru).
    2. Заполнить адрес: https://www.softodrom.ru/Поиск/?text=%s&qs
      Если нет поля «адрес», то кликнуть на «Подробнее».
    3. Остальные поля заполнить по желанию.
  5. Нажать «ОК».