-> ->

Уязвимости LastPass для Chrome и Firefox позволяют хакерам воровать пароли

Известный исследователь Тэвис Орманди решил снова проверить на прочность популярный менеджер паролей LastPass и был очень сильно удивлен, когда опять обнаружил в расширении для браузеров Chrome и Firefox опасную уязвимость, которая могла позволить злоумышленникам похитить все пароли пользователя.

В прошлом году Орманди совершил свою первую проверку на прочность. Результатом стало его искреннее удивление тем, что люди пользуются этим менеджером паролей. Эксперту удалось обнаружить в нем уязвимость нулевого дня, при эксплуатации которой хакеры запросто могли удаленно проникнуть на компьютер пользователя и похитить все его пароли. Уязвимым оказалось приложение для браузера Firefox. Тогда разработчики приложения выпустили патчи с заплатками для дыры, но на этот раз проверка тоже дала совершенно неудовлетворительные результаты.

Спустя год Орманди снова убедился в том, что LastPass не может полноценно защитить своих пользователей и их пароли из-за наличия критических уязвимостей в своих продуктах. Первым испытание на прочность провалило расширение для Chrome. Если злоумышленнику удастся заманить пользователя на специальный зараженный сайт, то он получит доступ к его менеджеру паролей и сможет удаленно копировать хранящиеся в нем пароли и потом использовать их для своих нужд.

По словам Орманди, с помощью обнаруженной уязвимости злоумышленник сможет удаленно выполнять на компьютере жертвы RPC-команды. Но это еще не самое страшное. Хуже всего то, что удаленно он получит доступ ко всем паролям пользователя, сможет их скопировать или внести свои изменения. А в некоторых случаях при достаточном мастерстве хакер сможет даже удаленно выполнить произвольный код.

Специалист отметил, что в расширении для Chrome, по всей видимости, уязвимость уже устранили. Сделать это удалось благодаря отключению 1min-ui-prod.service.lastpass.com. Но некоторые пользователи отмечают. Что их менеджер паролей по-прежнему остается уязвимым. В связи с этим Орманди советует пока отключить в своем браузере менеджер паролей и подождать, пока разработчики выпустят для него очередное обновление.

А на прошлой неделе Орманди удалось обнаружить еще одну критическую уязвимость. На этот раз свою слабость продемонстрировало расширение для Firefox. Схема атаки та же самая: злоумышленнику нужно заманить пользователя на вредоносный сайт. Только после этого он сможет скопировать все пароли, хранящиеся в менеджере.

Как стало известно, обновление с исправлением этой уязвимости уже готово, но его еще должны проанализировать специалисты Mozilla, чтобы избежать других возможных проблем. Рассматриваются исправления для версии 3.3.2. А пока они еще официально недоступны, пользователям рекомендуется перейти на ветку 4. Хотя и ее Орманди забраковал. Он обнаружил в LastPass 4.1.35 для Firefox брешь, через которую тоже можно украсть пароли.

Поставить рейтинг:(Рейтинг: 2.86, оценок: 192)
 
Поделитесь новостью:

New! Полная статистика популярности браузеров по Рунету и миру. Системы сбора статистики LiveInternet, OpenStat, StatCounter в одном месте. Данные по всем популярным браузерам, таким как Google Chrome, Mozilla Firefox, Яндекс.Браузер, Opera, Microsoft Internet Explorer, а также альтернативным браузерам.

Возможно, Вам будут интересны новости:
События в тоже время:

Комментарии

Комментариев пока нет

Чтобы оставить комментарий - зарегистрируйтесь или авторизуйтесь через любимый сервис (ВКонтакте, Одноклассники, Twitter и др.) с помощью OpenID.