Уязвимость в LastPass раскрывает пароли от ранее посещенных сайтов

Разработчики менеджера паролей LastPass на прошлой неделе исправили уязвимость , раскрывающую пароли от ранее посещенных сайтов. Проблему обнаружил исследователь безопасности Тэвис Орманди (Tavis Ormandy), подробно описавший ее после того, как разработчики LastPass выпустили исправление.

Поскольку атака основывается на выполнении JavaScript-кода и не требует участия пользователя, уязвимость считается опасной и потенциально эксплуатируемой. Злоумышленник может заманить жертву на вредоносную web-страницу и через уязвимость получить пароли, введенные на предыдущих сайтах.

Проблема затрагивает только расширения LastPass для Chrome и Opera и уже исправлена в версии 4.33.0. Пользователям, отключившим механизм автоматического обновления менеджера паролей, рекомендуется как можно скорее установить патч вручную, поскольку публикация Орманди содержит все сведения, необходимые для эксплуатации уязвимости.

Никаких свидетельств использования уязвимости в реальных атаках не обнаружено. Поскольку проблема была успешно исправлена, нет никаких причин отказываться от LastPass. Хранить учетные данные в менеджерах паролей намного надежнее, чем в браузерах, откуда злоумышленники могут с легкостью их изъять с помощью специальных инструментов и вредоносного ПО.