LastPass исправляет ошибку, которая может позволить вредоносным веб-сайтам извлечь ваш последний использованный пароль

LastPass исправил ошибку, которая позволила бы вредоносному веб-сайту извлечь предыдущий пароль, введенный расширением браузера службы. ZDNet сообщает, что эта ошибка была обнаружена Тависом Орманди, исследователем из команды Google Project Zero, и была раскрыта в отчете об ошибках от 29 августа. LastPass исправил проблему 13 сентября и развернул обновление во всех браузерах, где оно должно применяться автоматически, что бы пользователи LastPass могли проверить.

Эта ошибка работает, заманивая пользователей на вредоносный веб-сайт и обманывая расширение браузера, чтобы использовать пароль от ранее посещенного веб-сайта. Орманди отмечает, что злоумышленники могут использовать такой сервис, как Google Translate, чтобы замаскировать вредоносный URL-адрес и обманом заставить уязвимых пользователей посетить мошеннический сайт.

LastPass может утечь последние использованные учетные данные из-за того, что кэш не обновляется. Это произошло потому, что вы можете обойти заполнение кэша учетных данных, включив форму входа неожиданным образом! https://t.co/bfLdDzSWS5

— Тавис Орманди (@taviso) 16 сентября 2019 г.

Хотя LastPass говорит, что обновление должно применяться автоматически, вы должны обязательно проверить, что вы используете самую последнюю версию расширения браузера службы, особенно если вы используете браузер, который позволяет отключить автоматические обновления для расширений. , Ошибка была исправлена ​​с расширением версии 4.33.0. LastPass заявил, что, по его мнению, ошибка затронула только браузеры Chrome и Opera, но в качестве меры предосторожности он установил один и тот же патч на все браузеры.

В заявлении, опубликованном в его блоге, LastPass преуменьшил серьезность ошибки. Менеджер по безопасности компании Ференц Кун (Ferenc Kun) сказал, что эксплойт основывался на том, что пользователь посещал вредоносный сайт и затем несколько раз пытался щелкнуть по странице. Ормандия тем не менее присвоила багу высокий уровень серьезности. Ошибка была ответственно раскрыта LastPass до того, как обнародована, и нет никаких доказательств того, что эксплойт когда-либо использовался в сети.

Несмотря на эту ошибку, использование менеджера паролей все еще является отличной мерой для обеспечения вашей онлайн-безопасности. Наличие ошибки подчеркивает тот факт, что менеджеры паролей, как и любой онлайн-сервис, все еще могут быть подвержены проблемам безопасности. В результате целесообразно добавить двухфакторную аутентификацию для любых сайтов, которые ее поддерживают, наряду с использованием надежных уникальных паролей, которые вы никогда не используете между службами.