В LastPass устранена уязвимость, которая могла привести к утечке данных

На прошлой неделе разработчики популярного менеджера паролей LastPass выпустили обновление, устраняющее уязвимость, которая могла привести к утечке пользовательских данных. О проблеме было объявлено после того, как она была решена, а пользователям LastPass рекомендовано обновить менеджер паролей до последней версии.

Речь идет об уязвимости, используя которую злоумышленники могли украсть данные, введенные пользователем на последнем посещенном веб-сайте. Проблему в прошлом месяце обнаружил Тавис Орманди (Tavis Ormandy), являющийся участником проекта Google Project Zero, в рамках которого проходят исследования в сфере информационной безопасности.

В настоящее время LastPass является самым популярным менеджером паролей. Разработчики устранили упомянутую ранее уязвимость в версии 4.33.0, которая появилась в открытом доступе 12 сентября. Если пользователи не используют функцию автоматического обновления LastPass, то им рекомендуется скачать актуальную версию ПО вручную. Сделать это нужно как можно быстрее, поскольку после исправления уязвимости исследователи опубликовали ее подробности, которые могут использоваться злоумышленниками для кражи паролей с устройств, на которых приложение еще не было обновлено.

Эксплуатация уязвимости связана с выполнением вредоносного кода JavaScript на целевом устройстве, без какого-либо взаимодействия с пользователем. Злоумышленники могут заманивать пользователей на вредоносные сайты с целью похищения учетных данных, хранящихся в менеджере паролей. Тавис Орманди считает, что использовать уязвимость достаточно просто, поскольку злоумышленники могут замаскировать вредоносную ссылку, обманом заставив пользователя перейти по ней для кражи учетных данных, которые были введены на предыдущем сайте.

Представители LastPass не комментируют данную ситуацию. На данный момент не известно о случаях, когда данная уязвимость использовалась злоумышленниками.