«

»

Распечатать Запись

В менеджере паролей LastPass обнаружен ряд уязвимостей

Исследователь из команды Google Project Zero Тэвис Орманди (Tavis Ormandy) обнаружил проблему безопасности в популярном менеджере паролей LastPass, о чем сообщил в Твиттере 27 и 28 июля, дождавшись, когда разработчики ее исправят. Проблема касалась пользователей расширения для браузера Firefox, которых было достаточно заманить на вредоносный сайт, чтобы заставить менеджер выполнять в фоновом режиме нужные злоумышленникам действия.

lastpass

Также разработчики сообщили о закрытии еще одной уязвимости, найденной экспертом по безопасности Матиасом Карлссоном (Mathias Karlsson) из компании Detectify. Он выяснил, что из LastPass можно вытянуть учетные данные сайтов. Для этого жертва должна перейти по ссылке вида http://avlidienbrunn.se/@twitter.com/@hehe.php, и приложение будет убеждено, что работает с twitter.com, а не avlidienbrunn.se. Так как менеджер поддерживает функцию автозаполнения полей "учетки", в любую форму на такой вредоносной странице будут вставлены реальные логин и пароль пользователя. Таким образом, используя простой JavaScript, можно собрать хороший урожай чужих учетных данных.

Нельзя не упомянуть, что в LastPass периодически находят серьезные проблемы безопасности. Например, осенью пошлого года Альберто Гарсия Иллера (Alberto Garcia Illera) и Мартин Виго (Martin Vigo) из компании Salesforce сделали соответствующий доклад на конференции Black Hat Europe, а в январе 2016-го частный исследователь Шон Кессиди (Sean Cassidy) нашел способ взлома мастер-пароля приложения. Более того, сами разработчики признали, что год назад сервера компании подверглись атаке хакеров, получившим доступ в к email-ам и мастер-паролям пользователей.

Постоянная ссылка на это сообщение: http://TestSoft.su/v-menedzhere-parolei-lastpass-obnaruzhen-ryad-uyazvimostei/

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Вы можете использовать эти теги HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>