Уязвимость была обнаружена исследователем из проекта Google Zero, Тависом Орманди (Tavis Ormandy) и раскрыта в отчете от 29 августа. Компания-разработчик менеджера паролей LastPass исправила проблему 13 сентября и запустила автоматическое обновление расширения для всех затронутых браузеров.
LastPass could leak the last used credentials due to a cache not being updated. This was because you can bypass the tab credential cache being populated by including the login form in an unexpected way! https://t.co/bfLdDzSWS5
— Tavis Ormandy (@taviso) September 16, 2019
Для проведения атаки злоумышленники должны были заманить жертву на вредоносный веб-сайт, который использовал технику обмана браузерного расширения для перехвата последнего использованного пароля. Для маскировки вредоносного URL-адреса киберпреступники могли использование такие сервисы, как Google Translate.
LastPass утверждает, что обновление придет автоматически, но лучше все перепроверить. Особенно это актуально, если вы используете новейшую версию расширения, которая позволяет отключать автоматическое обновление. Проблема исправлена в версии 4.33.0. LastPass отмечает, что проблема затрагивала только браузеры Chrome и Opera, но исправление было поставлено всем браузерам в качестве меры предосторожности.
Скачать LastPass Password Manager
В официальном блоге LastPass появилась новая публикация, в которой компания решила преуменьшить серьезность ошибки. Менеджер по безопасности LastPass Ференц Кун (Ferenc Kun) сказал, что для успешной эксплуатации жертва не только должна была перейти на вредоносный сайт, но и несколько раз кликнуть по странице. Тем не менее, Орманди присвоил ошибке высокий уровень опасности. Компания-разработчик получила уведомление об ошибке первой, до того, как информация о ней стала общедоступной. Кроме того, нет никаких доказательств того, что эксплойт когда-либо использовался в сети.
Менеджеры паролей тоже могут иметь проблемы безопасности
Несмотря на данную проблему, использование менеджера паролей все еще является отличной мерой для обеспечения вашей онлайн-безопасности. Наличие ошибки лишь свидетельствует о том, что менеджеры паролей, как и любой онлайн-сервис, могут быть подвержены проблемам безопасности.
Для дополнительной защиты пользователям рекомендуется добавить двухфакторную аутентификацию для любых сайтов, которые ее поддерживают. Также следует использовать надежные уникальные пароли, которые не пересекаются на различных сервисах и сайтах.
Угрозы безопасности
• Уязвимости Apple «AirBorne» могут привести к удаленному взлому iPhone, iPad и Mac через AirPlay без участия пользователя
• Cloudflare отражает рекордное число DDoS-атак в 2025 году
• Уязвимость в Linux-интерфейсе io_uring позволяет скрытым руткитам обходить защиту
• Французские власти снова пытаются получить доступ к сообщениям в Telegram
• Опасный вирус SuperCard X ворует данные карт через NFC на Android, обходя защиту антивирусов
• Расширения Chrome с 6 миллионами установок содержат скрытый код отслеживания