Новини
LastPass виправив баг, який приводив до витоку облікових даних
Розробники LastPass виправили небезпечний баг, який приводив до витоку облікових даних користувачів.
Вівторок, 17 вересня 2019, 11:31

Про це повідомляється в блозі LastPass.

Баг виявив експерт Google Project Zero Тевіс Орманді (Tavis Ormandy). Уразливість допускала витік облікових даних, введених на раніше посещенном сайті, і розробники LastPass повідомляють, що проблема зачіпала розширення для Chrome і Opera.

За словами Орманді, за допомогою клікджекінга зловмисники могли отримувати облікові дані з відвіданого раніше сайту, застосовуючи для цього клікджекінг, iframe і перенаправляючи користувачів LastPass на скомпрометовані або шкідливі сайти. Це виявилося не складно, так як зловмисник міг замаскувати шкідливе посилання як URL-адресу Google Translate.

Експлуатація бага вимагала, щоб користувач ввів облікові дані, скориставшись іконкою LastPass, відвідав зламаний або шкідливий сайт, а також кілька разів клікнув по сторінці.

Орманді оперативно повідомив компанію про проблему, баг швидко усунули. Повідомляється, що ніяких ознак експлуатації цієї уразливості зловмисниками не виявлено.

  • Дослідники з компанії AdaptiveMobile Security розповіли про серйозну атаку на SIM-карти під назвою Simjacker, що дозволяє стежити за людьми.
Теги: вразливість, баг

Межа у Telegram

Підписатись