Опасная уязвимость нулевого дня была обнаружена в популярном облачном менеджере паролей LastPass. Дыра в безопасности может привести к полному взлому учетной записи.
Несколько миллионов пользователей продукта подвержены риску взлома аккаунта при посещении вредоносных сайтов.
Инфицированные сайты позволяют киберпреступниками получить доступ к учетным записям пользователей, в которых сохранены пароли, платежная информация и другие персональные данные.
Брешь в безопасности была обнаружена исследователем из команды Google Project Zero Тависом Орманди. Тавис уже успел обнаружить различные виды уязвимостей во многих популярных антивирусах, в частности в решениях Symantec, Avast, Malwarebytes, Comodo, Kaspersky и Bromium.
Full report sent to LastPass, they&&re working on it now. Yes, it&&s a complete remote compromise. Yes, I promise I&&ll look at 1Password.
— Tavis Ormandy (@taviso) 27 июля 2016 г.
Ошибка будет воспроизведена разработчиками LastPass прежде чем будут созданы патчи.
Информация о реальной эксплуатации уязвимости отсутствует.
Тавис намерен также исследовать исходный код Password1 после завершения аудита безопасности LastPass.
Угрозы безопасности
• Пользователей LastPass атакуют фишинговыми письмами под видом техподдержки
• Трояны Android.Phantom заражают смартфоны через игры и пиратские моды, используя ИИ и видеотрансляции для накрутки кликов
• Атака CrashFix: фальшивый блокировщик рекламы для Chrome и Edge вызывает сбой браузера и заражает ПК
• NANO Антивирус перестал обновляться. Новый владелец BI.ZONE сообщает о переходе на современную инфраструктуру
• Уязвимость Telegram: прокси-ссылки могут раскрывать реальный IP пользователей
• «Доктор Веб» назвал самые опасные угрозы для Android к началу 2026 года