Новости Новости 23.03.2017 в 15:49 comment

Уязвимость в LastPass позволяла хакерам воровать пароли при помощи расширений для браузера

author avatar
https://itc.ua/wp-content/uploads/2022/04/ad81c83e9fbf757ce8a90d0eb41dee5b-96x96.jpeg *** https://itc.ua/wp-content/uploads/2022/04/ad81c83e9fbf757ce8a90d0eb41dee5b-96x96.jpeg *** https://itc.ua/wp-content/uploads/2022/04/ad81c83e9fbf757ce8a90d0eb41dee5b-96x96.jpeg

Вадим Карпусь

Автор новостей

В сервисе хранения паролей LastPass выявлена уязвимость безопасности, которая позволяет злоумышленникам воровать пароли пользователей.

Об обнаружении уязвимости заявил эксперт из компании Google Тэвис Орманди (Tavis Ormandy). Он отмечает, что ошибки в коде позволяют любому лицу получить полномочия в расширении LastPass для браузера. При этом неавторизованное лицо сможет получить доступ к привилегированным командам LastPass, включая «явно плохие», такие как копирование и заполнение паролей и др.

В LastPass пояснили, что проблема связана с экспериментальной функцией для всех клиентов LastPass для браузеров. Орманди сообщил о нескольких уязвимостях, но в компании говорят, что они «в значительной степени одинаковые». Компания опубликовала исправление уязвимостей ещё до того, как информация о них была раскрыта публично. Обновления у пользователей должны установиться в автоматическом режиме.

LastPass не говорит о необходимости обновления паролей. Отмечается, что нет признаков того, что какая-либо из обнаруженных уязвимостей использовалась в злоумышленниками. Но в настоящее время ещё осуществляются проверки, призванные подтвердить это. Разработчики обещают в скором времени предоставить более подробный отчёт.

Источник: The Verge

 

  • Это не первый случай обнаружения проблем в сервисе LastPass. В 2011 году в результате атаки на сервера LastPass возникла угроза утечки данных, и компания попросила пользователей сменить свои пароли.
  • В 2015 году снова была осуществлена атака на сервис, злоумышленникам удалось получить доступ к хешам мастер-паролей, электронных почтовых адресов и ответов на проверочные вопросы. Хотя к самим паролям доступ получить не удалось.
  • В 2016 году в LastPass была обнаружена уязвимость, позволяющая узнать все пароли пользователя.

Продолжается конкурс авторов ИТС. Напиши статью о развитии игр, гейминг и игровые девайсы и выигрывай профессиональный игровой руль Logitech G923 Racing Wheel, или одну из низкопрофильных игровых клавиатур Logitech G815 LIGHTSYNC RGB Mechanical Gaming Keyboard!


Loading comments...

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: