В LastPass быстро исправили уязвимость, позволяющую узнать все пароли пользователя

В LastPass была обнаружена серьезная уязвимость, позволяющая относительно легко получить доступ к паролям пользователя.

Ошибка скрывалась в работе парсера. Например, при посещении сайта http://example.com/@twitter.com браузер правильно считает, что пользователь находится на сайте example.com, в то время как расширение Lastpass считало, что пользователь зашел на twitter.com.

Если на странице расположена форма для авторизации, то Lastpass вставит в поля логин и пароль пользователя Twitter, и злоумышленник сможет их свободно прочитать.

Уязвимость была раскрыта разработчикам LastPass, исправившим ее менее, чем за сутки.

Пользователи уже защищены от этой ошибки парсера, однако и до этого для того, чтобы использовать уязвимость злоумышленнику необходимо было выполнение двух условий:

• Пользователь должен был зайти на страницу со специально сформированным адресом
• В настройках LastPass должна была быть включена опция автозаполнения паролей (по умолчанию отключена и активируется для каждого сайта по отдельности).