В LastPass закрыты новые лазейки для кражи паролей




В популярном менеджере паролей LastPass пропатчены три уязвимости, грозившие кражей паролей. Как пишет Threatpost, бреши, о которых разработчику LastPass сообщил Тэвис Орманди (Tavis Ormandy) из Google Project Zero, были закрыты в течение суток.

«Получив уведомление и PoC (две строки JavaScript) для RCE-бага в расширении Chrome 4.1.42.80, компания поблагодарила исследователя за находку и сразу занялась изучением проблемы. В блог-записи от 22 марта разработчик подтвердил наличие уязвимости во всех LastPass-клиентах, Chrome, Firefox и Edge, пояснив, что она возникла из-за запуска «экспериментальной функции сопровождения новых пользователей».

Орманди со своей стороны пишет в отчете, что виновником появления данной уязвимости являлся websiteconnector.js, который, как оказалось, был способен проксировать неаутентифицированные оконные сообщения расширению. Такая особенность позволяла получить доступ к внутренним RPC-командам (вызова удаленных процедур) LastPass и заставить клиент выполнять их, в том числе копировать пароли и заполнять соответствующее поле веб-форм. В том случае, если у пользователя был установлен LastPass Binary Component, злоумышленник мог также выполнить произвольный код с помощью команды openattach.

Параллельно Орманди обнаружил в LastPass для Firefox уязвимость, тоже позволявшую скомпрометировать все сохраненные пароли, но в этом клиенте, согласно описанию, она была вызвана иной причиной. Список вызовов процедур в Firefox-аддоне совершенно другой, нежели в LastPass для Chrome, и среди них Орманди обнаружил процедуру ResetScript, способную загружать URL, а затем запускать произвольный скрипт на этой странице...»

Скачать: LastPass
Автор: Softodrom.ru
Дата: 24.03.2017


» Оставьте первым свой комментарий


Новости > Программы > В LastPass закрыты новые лазейки для кражи паролей
Все рубрики Новостей:
Топ-сегодня раздела Программы
В MAPS.ME для Android и iOS появились данные о пробках
На час поездки с данными о загруженности дорог MAPS.ME потребуется лишь около 1МБ трафика, что в три–пять раз меньше потребления аналогичных сервисов
Лучшие условно-бесплатные программы 2007 года
Softodrom.ru: 20 лучших условно-бесплатных программ 2007 года
Чем править фото: 5 бесплатных редакторов
Для цифровой обработки фотографий чаще всего используется пакет Adobe Photoshop, однако есть несколько бесплатных альтернатив этому и другим дорогим редакторам
Гид по использованию MS-DOS Mobile для Windows Phone
«Камень-ножницы-бумага» – самая лучшая фича MS-DOS Mobile
10 худших операционных систем
Computerworld опубликовал десятку самых плохих, по мнению этого издания, операционных систем
Новинки раздела Программы
Минкомсвязь: у компетентных органов больше вопросов к другим зарубежным мессенджерам, чем к Telegram
Они как-то все время остаются за кадром, а на самом деле к ним у компетентных органов даже больше вопросов
В браузер Google Chrome интегрировали утилиту Chrome Cleanup для защиты от вредоносного ПО
Утилита Chrome Cleanup действует в фоновом режиме, не отвлекая пользователя и не препятствуя его работе
Microsoft рассказала об Office 2019
На конференции Microsoft Ignite был анонсирован выход офисного пакета Office 2019, который придет на смену Microsoft Office 2016
Помощница «Алиса» — шпион «Яндекса»?
Софтодром протестировал Windows-версию голосового помощника «Алиса», после чего удалил ее как потенциальное spyware
Mail.Ru выпустила мессенджер TamTam для компьютеров
Теперь все пользователи TamTam могут общаться с помощью браузера на настольном компьютере или ноутбуке
Copyright © 1999-2017 Softodrom.ru
О перепечатках | RSS каналы | Рассылки | Пользовательское соглашение | Политика конфиденциальности | О проекте | Карта сайта
В Опере нет автоматического способа добавить поиск по Софтодрому.
Чтобы вручную добавить поиск по Софтодрому, нужно сделать следующее:
  1. Нажать Ctrl+F12.
  2. Выбрать вкладку «Поиск».
  3. Нажать «Добавить» (Add).
  4. В появившемся окне:
    1. Заполнить название (Softodrom.ru).
    2. Заполнить адрес: https://www.softodrom.ru/Поиск/?text=%s&qs
      Если нет поля «адрес», то кликнуть на «Подробнее».
    3. Остальные поля заполнить по желанию.
  5. Нажать «ОК».