В LastPass исправлена уязвимость, которая позволяла перехватывать последний использованный пароль

2019-09-16 | Автор | комментарии
Компания LastPass исправила проблему безопасности, которая позволяла вредоносным сайтам получать последний, автоматически заполненный расширением пароль

В LastPass исправлена уязвимость, которая позволяла перехватывать последний использованный пароль

Уязвимость была обнаружена исследователем из проекта Google Zero, Тависом Орманди (Tavis Ormandy) и раскрыта в отчете от 29 августа. Компания-разработчик менеджера паролей LastPass исправила проблему 13 сентября и запустила автоматическое обновление расширения для всех затронутых браузеров.

Для проведения атаки злоумышленники должны были заманить жертву на вредоносный веб-сайт, который использовал технику обмана браузерного расширения для перехвата последнего использованного пароля. Для маскировки вредоносного URL-адреса киберпреступники могли использование такие сервисы, как Google Translate.

LastPass утверждает, что обновление придет автоматически, но лучше все перепроверить. Особенно это актуально, если вы используете новейшую версию расширения, которая позволяет отключать автоматическое обновление. Проблема исправлена в версии 4.33.0. LastPass отмечает, что проблема затрагивала только браузеры Chrome и Opera, но исправление было поставлено всем браузерам в качестве меры предосторожности.

Скачать LastPass Password Manager

В официальном блоге LastPass появилась новая публикация, в которой компания решила преуменьшить серьезность ошибки. Менеджер по безопасности LastPass Ференц Кун (Ferenc Kun) сказал, что для успешной эксплуатации жертва не только должна была перейти на вредоносный сайт, но и несколько раз кликнуть по странице. Тем не менее, Орманди присвоил ошибке высокий уровень опасности. Компания-разработчик получила уведомление об ошибке первой, до того, как информация о ней стала общедоступной. Кроме того, нет никаких доказательств того, что эксплойт когда-либо использовался в сети.

Менеджеры паролей тоже могут иметь проблемы безопасности

Несмотря на данную проблему, использование менеджера паролей все еще является отличной мерой для обеспечения вашей онлайн-безопасности. Наличие ошибки лишь свидетельствует о том, что менеджеры паролей, как и любой онлайн-сервис, могут быть подвержены проблемам безопасности.

Для дополнительной защиты пользователям рекомендуется добавить двухфакторную аутентификацию для любых сайтов, которые ее поддерживают. Также следует использовать надежные уникальные пароли, которые не пересекаются на различных сервисах и сайтах.

Нашли опечатку? Выделите и нажмите Ctrl+Enter

Комментарии и отзывы

Добавляя комментарий, ознакомьтесь с Правилами сообщества