Пользователи известного облачного менеджера паролей могли пострадать от уязвимости в LastPass: 0-day могла предоставить хакерам полный контроль над аккаунтами пользователей. Это открыло бы огромные возможности для злоумышленников, так как они буквально получили бы «ключ от всех дверей», взломав хранилище всех паролей пользователя.

Как выяснил исследователь проекта Google Project Zero Тэвас Орманди (Tavis Ormandy), для компрометации достаточно лишь завлечь жертву на вредоносный сайт. Удаленная эксплуатация бреши возможна при использовании человеком браузера Firefox с установленным плагином LastPass.

Верить Орманди есть основания: он чрезвычайно активный «белый хакер», в свое время обнаруживший уязвимости практически в каждом известном антивирусе, в том числе в ESET, Symantec и Avast!, а также в веб-активах Comodo, Bromium и Malwarebytes.

Проанализировав эти сведения, LastPass оперативно закрыл уязвимость; патч будет доступен в версии LastPass 4.0. Об атаках на брешь ничего не известно, и есть надежда успеть применить патч до того, как об уязвимости узнают хакеры.

Орманди надеется в ближайшее время проанализировать код другого популярного менеджера паролей — 1Password.

Категории: Уязвимости, Хакеры