В LastPass закрыты новые лазейки для кражи паролей




В популярном менеджере паролей LastPass пропатчены три уязвимости, грозившие кражей паролей. Как пишет Threatpost, бреши, о которых разработчику LastPass сообщил Тэвис Орманди (Tavis Ormandy) из Google Project Zero, были закрыты в течение суток.

«Получив уведомление и PoC (две строки JavaScript) для RCE-бага в расширении Chrome 4.1.42.80, компания поблагодарила исследователя за находку и сразу занялась изучением проблемы. В блог-записи от 22 марта разработчик подтвердил наличие уязвимости во всех LastPass-клиентах, Chrome, Firefox и Edge, пояснив, что она возникла из-за запуска «экспериментальной функции сопровождения новых пользователей».

Орманди со своей стороны пишет в отчете, что виновником появления данной уязвимости являлся websiteconnector.js, который, как оказалось, был способен проксировать неаутентифицированные оконные сообщения расширению. Такая особенность позволяла получить доступ к внутренним RPC-командам (вызова удаленных процедур) LastPass и заставить клиент выполнять их, в том числе копировать пароли и заполнять соответствующее поле веб-форм. В том случае, если у пользователя был установлен LastPass Binary Component, злоумышленник мог также выполнить произвольный код с помощью команды openattach.

Параллельно Орманди обнаружил в LastPass для Firefox уязвимость, тоже позволявшую скомпрометировать все сохраненные пароли, но в этом клиенте, согласно описанию, она была вызвана иной причиной. Список вызовов процедур в Firefox-аддоне совершенно другой, нежели в LastPass для Chrome, и среди них Орманди обнаружил процедуру ResetScript, способную загружать URL, а затем запускать произвольный скрипт на этой странице...»

Скачать: LastPass
Автор: Softodrom.ru
Дата: 24.03.2017


» Оставьте первым свой комментарий


Новости > Программы > В LastPass закрыты новые лазейки для кражи паролей
Все рубрики Новостей:
Топ-сегодня раздела Программы
В реестр отечественного ПО добавили AlterOS, TelerOS и еще 148 программных продуктов
В реестре отечественного программного обеспечения уже зарегистрировано почти четыре тысячи продуктов, это значительная часть софта, производимого российскими разработчиками
Роскомнадзор: время до блокировки Telegram исчисляется днями
Роскомнадзор продолжает ждать ответа от основателя мессенджера Telegram Павла Дурова
Microsoft рассказала, как перейти на более быстрый и надежный браузер
Microsoft Edge обеспечивает более быстрый и безопасный просмотр веб-страниц и обладает рядом дополнительных возможностей
В Firefox 50.0.2 устранили очередную критическую уязвимость
Mozilla выпустила браузер Firefox 50.0.2, закрывающий очередную критическую уязвимость
Началось бета-тестирование Dr.Web Security Space 11.0
Уже сейчас можно протестировать новый интерфейс программы и оценить увеличенную скорость работы
Новинки раздела Программы
В реестр отечественного ПО добавили AlterOS, TelerOS и еще 148 программных продуктов
В реестре отечественного программного обеспечения уже зарегистрировано почти четыре тысячи продуктов, это значительная часть софта, производимого российскими разработчиками
Браузер Gnome Web (Epiphany) получил поддержку Firefox Sync
Это стало возможным благодаря свободной лицензии на использование API Firefox Sync
Роскомнадзор внес Snapchat в свой реестр без ведома мессенджера
Ранее Роскомнадзор сообщил, что внес в реестр ОРИ разработчика Snapchat, что позволяет правоохранительным органам направлять сервису запросы на предоставление информации о пользователях
Snapchat внесен в реестр Роскомнадзора
В настоящее время в реестре зарегистрировано 89 организаторов распространения информации
Аудитория мобильного приложения «Госуслуги» увеличилась более чем в пять раз за год
Активным считается пользователь, который как минимум один раз в месяц запустил приложение
Copyright © 1999-2017 Softodrom.ru
О перепечатках | RSS каналы | Рассылки | Пользовательское соглашение | Политика конфиденциальности | О проекте | Карта сайта
В Опере нет автоматического способа добавить поиск по Софтодрому.
Чтобы вручную добавить поиск по Софтодрому, нужно сделать следующее:
  1. Нажать Ctrl+F12.
  2. Выбрать вкладку «Поиск».
  3. Нажать «Добавить» (Add).
  4. В появившемся окне:
    1. Заполнить название (Softodrom.ru).
    2. Заполнить адрес: https://www.softodrom.ru/Поиск/?text=%s&qs
      Если нет поля «адрес», то кликнуть на «Подробнее».
    3. Остальные поля заполнить по желанию.
  5. Нажать «ОК».