В LastPass закрыты новые лазейки для кражи паролей




В популярном менеджере паролей LastPass пропатчены три уязвимости, грозившие кражей паролей. Как пишет Threatpost, бреши, о которых разработчику LastPass сообщил Тэвис Орманди (Tavis Ormandy) из Google Project Zero, были закрыты в течение суток.

«Получив уведомление и PoC (две строки JavaScript) для RCE-бага в расширении Chrome 4.1.42.80, компания поблагодарила исследователя за находку и сразу занялась изучением проблемы. В блог-записи от 22 марта разработчик подтвердил наличие уязвимости во всех LastPass-клиентах, Chrome, Firefox и Edge, пояснив, что она возникла из-за запуска «экспериментальной функции сопровождения новых пользователей».

Орманди со своей стороны пишет в отчете, что виновником появления данной уязвимости являлся websiteconnector.js, который, как оказалось, был способен проксировать неаутентифицированные оконные сообщения расширению. Такая особенность позволяла получить доступ к внутренним RPC-командам (вызова удаленных процедур) LastPass и заставить клиент выполнять их, в том числе копировать пароли и заполнять соответствующее поле веб-форм. В том случае, если у пользователя был установлен LastPass Binary Component, злоумышленник мог также выполнить произвольный код с помощью команды openattach.

Параллельно Орманди обнаружил в LastPass для Firefox уязвимость, тоже позволявшую скомпрометировать все сохраненные пароли, но в этом клиенте, согласно описанию, она была вызвана иной причиной. Список вызовов процедур в Firefox-аддоне совершенно другой, нежели в LastPass для Chrome, и среди них Орманди обнаружил процедуру ResetScript, способную загружать URL, а затем запускать произвольный скрипт на этой странице...»

Скачать: LastPass
Автор: Softodrom.ru
Дата: 24.03.2017


» Оставьте первым свой комментарий


Новости > Программы > В LastPass закрыты новые лазейки для кражи паролей
Все рубрики Новостей:
Топ-сегодня раздела Программы
Evernote прекращает поддержку своего приложения для Windows Phone
Компания Evernote объявила о скором прекращении поддержки своего приложения для Windows Phone и Blackberry
Советник президента РФ по интернету перейдет на ICQ в случае блокировки Telegram
Советник президента России по вопросам развития интернета Герман Клименко планирует перейти на мессенджер ICQ в случае блокировки Telegram
Дуров заподозрил российские спецслужбы в желании усилить контроль над населением
Время появления информации о том, что почти три месяца назад Telegram якобы использовался при подготовке теракта, вызывает вопросы
В Кремле готовы перейти на другой мессенджер в случае блокировки Telegram
В Кремле прокомментировали возможную блокировку мессенджера Telegram
Дуров назвал требования Роскомнадзора противоречащими Конституции РФ
Это требование не только противоречит Конституции РФ, но и демонстрирует незнание того, как шифруется коммуникация в 2017 году
Новинки раздела Программы
Evernote прекращает поддержку своего приложения для Windows Phone
Компания Evernote объявила о скором прекращении поддержки своего приложения для Windows Phone и Blackberry
Советник президента РФ по интернету перейдет на ICQ в случае блокировки Telegram
Советник президента России по вопросам развития интернета Герман Клименко планирует перейти на мессенджер ICQ в случае блокировки Telegram
Дуров заподозрил российские спецслужбы в желании усилить контроль над населением
Время появления информации о том, что почти три месяца назад Telegram якобы использовался при подготовке теракта, вызывает вопросы
В ICQ появились групповые аудио- и видеозвонки
Теперь в аудио- и видеочатах ICQ можно общаться не только с одним собеседником, но и в группах
В Кремле готовы перейти на другой мессенджер в случае блокировки Telegram
В Кремле прокомментировали возможную блокировку мессенджера Telegram
Copyright © 1999-2017 Softodrom.ru
О перепечатках | RSS каналы | Рассылки | Пользовательское соглашение | Политика конфиденциальности | О проекте | Карта сайта
В Опере нет автоматического способа добавить поиск по Софтодрому.
Чтобы вручную добавить поиск по Софтодрому, нужно сделать следующее:
  1. Нажать Ctrl+F12.
  2. Выбрать вкладку «Поиск».
  3. Нажать «Добавить» (Add).
  4. В появившемся окне:
    1. Заполнить название (Softodrom.ru).
    2. Заполнить адрес: https://www.softodrom.ru/Поиск/?text=%s&qs
      Если нет поля «адрес», то кликнуть на «Подробнее».
    3. Остальные поля заполнить по желанию.
  5. Нажать «ОК».