Уязвимость в LastPass раскрывает пароли от ранее посещенных сайтов

image

Теги: LastPass, уязвимость, менеджер паролей

Проблема исправлена в версии LastPass 4.33.0.

Разработчики менеджера паролей LastPass на прошлой неделе исправили уязвимость, раскрывающую пароли от ранее посещенных сайтов. Проблему обнаружил исследователь безопасности Тэвис Орманди (Tavis Ormandy), подробно описавший ее после того, как разработчики LastPass выпустили исправление.

Поскольку атака основывается на выполнении JavaScript-кода и не требует участия пользователя, уязвимость считается опасной и потенциально эксплуатируемой. Злоумышленник может заманить жертву на вредоносную web-страницу и через уязвимость получить пароли, введенные на предыдущих сайтах.

Проблема затрагивает только расширения LastPass для Chrome и Opera и уже исправлена в версии 4.33.0. Пользователям, отключившим механизм автоматического обновления менеджера паролей, рекомендуется как можно скорее установить патч вручную, поскольку публикация Орманди содержит все сведения, необходимые для эксплуатации уязвимости.

Никаких свидетельств использования уязвимости в реальных атаках не обнаружено. Поскольку проблема была успешно исправлена, нет никаких причин отказываться от LastPass. Хранить учетные данные в менеджерах паролей намного надежнее, чем в браузерах, откуда злоумышленники могут с легкостью их изъять с помощью специальных инструментов и вредоносного ПО.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.