Что нового
  • Что бы вступить в ряды "Принятый кодер" Вам нужно:
    Написать 10 полезных сообщений или тем и Получить 10 симпатий.
    Для того кто не хочет терять время,может пожертвовать средства для поддержки сервеса, и вступить в ряды VIP на месяц, дополнительная информация в лс.

  • Пользаватели которые будут спамить, уходят в бан без предупреждения. Спам сообщения определяется администрацией и модератором.

  • Гость, Что бы Вы хотели увидеть на нашем Форуме? Изложить свои идеи и пожелания по улучшению форума Вы можете поделиться с нами здесь. ----> Перейдите сюда
  • Все пользователи не прошедшие проверку электронной почты будут заблокированы. Все вопросы с разблокировкой обращайтесь по адресу электронной почте : info@guardianelinks.com . Не пришло сообщение о проверке или о сбросе также сообщите нам.

Критические Уязвимости Были Найдены В Lastpass, Популярном Менеджере Паролей Для Chrome И...

Sascha

Заместитель Администратора
Команда форума
Администратор
Регистрация
9 Май 2015
Сообщения
1,071
Баллы
155
Возраст
51
В прошлом году исследователь Google Project Zero Тэвис Орманди (Tavis Ormandy) уже находил несколько

Пожалуйста Авторизируйтесь или Зарегистрируйтесь для просмотра скрытого текста.

проблем с безопасностью у популярного приложения для управления паролями

Пожалуйста Авторизируйтесь или Зарегистрируйтесь для просмотра скрытого текста.

, теперь ему удалось сделать это еще раз. Сначала Орманди обнаружил уязвимость в одной из версий расширения для Firefox, затем он нашел баг, который влиял как на Chrome, так и на Firefox, после этого Тэвис обнаружил третью уязвимость, из-за которой появлялась возможность «украсть пароли с любого домена».

Первая уязвимость еще не была исправлена. По словам Орманди, задержка возникла из-за того, что Mozilla нужно время для проверки обновленного расширения перед тем, как выпустить его. Он сообщил, что с её помощью можно получить доступ к паролям жертвы, но пока не предоставил деталей.



Пожалуйста Авторизируйтесь или Зарегистрируйтесь для просмотра скрытого текста.

Nope, not resolved yet. I think they're waiting for a mandatory addon review from Mozilla, but I'm not sure.

— Tavis Ormandy (@taviso)

Пожалуйста Авторизируйтесь или Зарегистрируйтесь для просмотра скрытого текста.




Вторая и третья уязвимости также позволяли злоумышленникам воровать пароли, а если у пользователя была установлена бинарная версия расширения, ещё и запускать любой код на машине жертвы. Так, например, Орманди

Пожалуйста Авторизируйтесь или Зарегистрируйтесь для просмотра скрытого текста.

калькулятор на чужом компьютере.


Oops, new LastPass bug that affects 4.1.42 (Chrome&FF). RCE if you use the "Binary Component", otherwise can steal pwds. Full report on way.

Пожалуйста Авторизируйтесь или Зарегистрируйтесь для просмотра скрытого текста.



— Tavis Ormandy (@taviso)

Пожалуйста Авторизируйтесь или Зарегистрируйтесь для просмотра скрытого текста.




Компания уже исправила последние две уязвимости и подготовила подробный отчёт, прочитать который можно в её

Пожалуйста Авторизируйтесь или Зарегистрируйтесь для просмотра скрытого текста.

.


The issue reported by Tavis Ormandy has been resolved. We will provide additional details on our blog soon.

— LastPass (@LastPass)

Пожалуйста Авторизируйтесь или Зарегистрируйтесь для просмотра скрытого текста.





Пожалуйста Авторизируйтесь или Зарегистрируйтесь для просмотра скрытого текста.

.
 
Вверх