На прошлой неделе разработчики популярного менеджера паролей LastPass выпустили обновление, устраняющее уязвимость, которая могла привести к утечке пользовательских данных. О проблеме было объявлено после того, как она была решена, а пользователям LastPass рекомендовано обновить менеджер паролей до последней версии.
Речь идёт об уязвимости, используя которую злоумышленники могли украсть данные, введённые пользователем на последнем посещённом веб-сайте. Проблему в прошлом месяце обнаружил Тавис Орманди (Tavis Ormandy), являющийся участником проекта Google Project Zero, в рамках которого проходят исследования в сфере информационной безопасности.
В настоящее время LastPass является самым популярным менеджером паролей. Разработчики устранили упомянутую ранее уязвимость в версии 4.33.0, которая появилась в открытом доступе 12 сентября. Если пользователи не используют функцию автоматического обновления LastPass, то им рекомендуется скачать актуальную версию ПО вручную. Сделать это нужно как можно быстрее, поскольку после исправления уязвимости исследователи опубликовали её подробности, которые могут использоваться злоумышленниками для кражи паролей с устройств, на которых приложение ещё не было обновлено.
Эксплуатация уязвимости связана с выполнением вредоносного кода JavaScript на целевом устройстве, без какого-либо взаимодействия с пользователем. Злоумышленники могут заманивать пользователей на вредоносные сайты с целью похищения учётных данных, хранящихся в менеджере паролей. Тавис Орманди считает, что использовать уязвимость достаточно просто, поскольку злоумышленники могут замаскировать вредоносную ссылку, обманом заставив пользователя перейти по ней для кражи учётных данных, которые были введены на предыдущем сайте.
Представители LastPass не комментируют данную ситуацию. На данный момент не известно о случаях, когда данная уязвимость использовалась злоумышленниками.