В LastPass закрыты новые лазейки для кражи паролей




В популярном менеджере паролей LastPass пропатчены три уязвимости, грозившие кражей паролей. Как пишет Threatpost, бреши, о которых разработчику LastPass сообщил Тэвис Орманди (Tavis Ormandy) из Google Project Zero, были закрыты в течение суток.

«Получив уведомление и PoC (две строки JavaScript) для RCE-бага в расширении Chrome 4.1.42.80, компания поблагодарила исследователя за находку и сразу занялась изучением проблемы. В блог-записи от 22 марта разработчик подтвердил наличие уязвимости во всех LastPass-клиентах, Chrome, Firefox и Edge, пояснив, что она возникла из-за запуска «экспериментальной функции сопровождения новых пользователей».

Орманди со своей стороны пишет в отчете, что виновником появления данной уязвимости являлся websiteconnector.js, который, как оказалось, был способен проксировать неаутентифицированные оконные сообщения расширению. Такая особенность позволяла получить доступ к внутренним RPC-командам (вызова удаленных процедур) LastPass и заставить клиент выполнять их, в том числе копировать пароли и заполнять соответствующее поле веб-форм. В том случае, если у пользователя был установлен LastPass Binary Component, злоумышленник мог также выполнить произвольный код с помощью команды openattach.

Параллельно Орманди обнаружил в LastPass для Firefox уязвимость, тоже позволявшую скомпрометировать все сохраненные пароли, но в этом клиенте, согласно описанию, она была вызвана иной причиной. Список вызовов процедур в Firefox-аддоне совершенно другой, нежели в LastPass для Chrome, и среди них Орманди обнаружил процедуру ResetScript, способную загружать URL, а затем запускать произвольный скрипт на этой странице...»

Скачать: LastPass

Автор: Softodrom.ru
Дата:


» Оставьте первым свой комментарий


Новости > Программы > В LastPass закрыты новые лазейки для кражи паролей
Все рубрики статей:
Топ-сегодня: Программы
Кто создал TrueCrypt?
Софтодром решил выяснить, кто создал популярную программу TrueCrypt
CLCL - Менеджер буфера обмена
Обзор бесплатной программы CLCL, расширяющей возможности буфера обмена Windows
Лучшие условно-бесплатные программы 2007 года
Softodrom.ru: 20 лучших условно-бесплатных программ 2007 года
Помощница «Алиса» — шпион «Яндекса»?
Софтодром протестировал Windows-версию голосового помощника «Алиса», после чего удалил ее как потенциальное spyware
Шейпер для ОС Windows
Lan2net Traffic Shaper - динамическое управление загрузкой канала в различных режимах работы
Новые статьи: Программы
«ВКонтакте» запустила приложение для подведения итогов 2017 года
Приложение «Итоги года» позволит каждому пользователю «ВКонтакте» узнать о своих рекордах в 2017 году
В пиратских версиях популярных программ обнаружили скрытый майнер криптовалют
Эксперты «Лаборатории Касперского» обнаружили скрытый майнер NiceHash в пиратских дистрибутивах популярных программ
«Яндекс» запустил еще один браузер на Android
Обновленная версия приложения «Яндекс» для Android стала настолько удобной, что может теперь заменить браузер
Из Google Play удалили три фальшивых биткоин-кошелька
Приложения, выдаваемые за легитимные криптокошельки, меняли адрес продавца на реквизиты злоумышленников, так что покупатели перечисляли платежи им
В браузере Google Chrome появится встроенный блокировщик рекламы
Если хотя бы один из стандартов не будет соблюден, браузер Google Chrome заблокирует не одно объявление, а всю рекламу на сайте

Статистика | Рейтинги | Авторам | Реклама
Copyright © 1999-2018 Softodrom.ru
О перепечатках | Рассылки | Пользовательское соглашение | Политика конфиденциальности | О проекте | Карта сайта
В Опере нет автоматического способа добавить поиск по Софтодрому.
Чтобы вручную добавить поиск по Софтодрому, нужно сделать следующее:
  1. Нажать Ctrl+F12.
  2. Выбрать вкладку «Поиск».
  3. Нажать «Добавить» (Add).
  4. В появившемся окне:
    1. Заполнить название (Softodrom.ru).
    2. Заполнить адрес: https://www.softodrom.ru/Поиск/?text=%s&qs
      Если нет поля «адрес», то кликнуть на «Подробнее».
    3. Остальные поля заполнить по желанию.
  5. Нажать «ОК».