Исследователь Google Project Zero сообщил, что расширения браузера для инструмента управления паролями LastPass страдали от уязвимости, из-за которой могли быть утечки пароли пользователей.
Уязвимость, влияющая на расширения Chrome и Opera, означала, что вредоносные веб-сайты могут обманывать LastPass, предоставляя имена пользователей и пароли. LastPass объясняет, что проблема возникла из-за «ограниченного набора обстоятельств», которые допускали кражу кликов. Хорошей новостью является то, что уязвимость безопасности была исправлена.
Смотрите также:
Еще лучше то, что пользователям ничего не нужно делать, чтобы защитить себя. LastPass выпустил обновление для расширения, которое будет установлено автоматически, поэтому, если вы подключены к Интернету, все позаботится о вас.
В сообщении на сайте LastPass компания объясняет:
Наша команда недавно исследовала и исправила ошибку, затрагивающую некоторые расширения LastPass. Тавис Орманди, исследователь безопасности из Google Project Zero, ответственно сообщил нам об этой проблеме. Его отчет выявил ограниченный набор обстоятельств для конкретных расширений браузера, которые потенциально могут позволить злоумышленнику создать сценарий перехвата кликов.
Чтобы воспользоваться этой ошибкой, пользователю LastPass необходимо предпринять ряд действий, включая заполнение пароля значком LastPass, посещение взломанного или вредоносного сайта и, наконец, несколько раз обманом щелкнуть страницу. Этот эксплойт может привести к тому, что будут открыты последние учетные данные, заполненные LastPass. Мы быстро разработали исправление и убедились, что решение было полным с Tavis.
Теперь мы решили эту ошибку; никаких действий пользователя не требуется, и расширение вашего браузера LastPass обновится автоматически.
Кроме того, хотя любая потенциальная уязвимость из-за ошибки была ограничена определенными браузерами (Chrome и Opera), в качестве меры предосторожности мы развернули обновление для всех браузеров.
В соответствии с кодексом ответственного раскрытия, детали ошибки были обнародованы только в воскресенье. Обнаружение исследователя Тависа Орманди было обнаружено на веб-сайте Project Zero.
Он объясняет:
Я заметил, что вы можете создать всплывающее окно без вызова do_popupregister () с помощью iframing popupfilltab.html (то есть через расширение moz, расширение ms-browser, расширение chrome и т. Д.). Это действительный ресурс web_accessible_resource.
Поскольку do_popupregister () никогда не вызывается, ftd_get_frameparenturl () просто использует последнее кэшированное значение в g_popup_url_by_tabid для текущей вкладки. Это означает, что с помощью некоторой перехвата кликов вы можете утечь учетные данные для предыдущего сайта, вошедшего в систему для текущей вкладки.
Уязвимость означала, что специально закодированный вредоносный сайт мог иметь доступ к учетным данным, которые использовались на ранее посещенном сайте.
Просто убедитесь, что вы обновились до LastPass 4.33.0 или новее, и вы будете в безопасности.
Add comment