- Регистрация
- 9 Май 2015
- Сообщения
- 1,071
- Баллы
- 155
- Возраст
- 51
В прошлом году исследователь Google Project Zero Тэвис Орманди (Tavis Ormandy) уже находил несколько проблем с безопасностью у популярного приложения для управления паролями , теперь ему удалось сделать это еще раз. Сначала Орманди обнаружил уязвимость в одной из версий расширения для Firefox, затем он нашел баг, который влиял как на Chrome, так и на Firefox, после этого Тэвис обнаружил третью уязвимость, из-за которой появлялась возможность «украсть пароли с любого домена».
Первая уязвимость еще не была исправлена. По словам Орманди, задержка возникла из-за того, что Mozilla нужно время для проверки обновленного расширения перед тем, как выпустить его. Он сообщил, что с её помощью можно получить доступ к паролям жертвы, но пока не предоставил деталей.
Nope, not resolved yet. I think they're waiting for a mandatory addon review from Mozilla, but I'm not sure.
— Tavis Ormandy (@taviso)
Вторая и третья уязвимости также позволяли злоумышленникам воровать пароли, а если у пользователя была установлена бинарная версия расширения, ещё и запускать любой код на машине жертвы. Так, например, Орманди калькулятор на чужом компьютере.
Oops, new LastPass bug that affects 4.1.42 (Chrome&FF). RCE if you use the "Binary Component", otherwise can steal pwds. Full report on way.
— Tavis Ormandy (@taviso)
Компания уже исправила последние две уязвимости и подготовила подробный отчёт, прочитать который можно в её .
The issue reported by Tavis Ormandy has been resolved. We will provide additional details on our blog soon.
— LastPass (@LastPass)
— .
Первая уязвимость еще не была исправлена. По словам Орманди, задержка возникла из-за того, что Mozilla нужно время для проверки обновленного расширения перед тем, как выпустить его. Он сообщил, что с её помощью можно получить доступ к паролям жертвы, но пока не предоставил деталей.
Nope, not resolved yet. I think they're waiting for a mandatory addon review from Mozilla, but I'm not sure.
— Tavis Ormandy (@taviso)
Вторая и третья уязвимости также позволяли злоумышленникам воровать пароли, а если у пользователя была установлена бинарная версия расширения, ещё и запускать любой код на машине жертвы. Так, например, Орманди калькулятор на чужом компьютере.
Oops, new LastPass bug that affects 4.1.42 (Chrome&FF). RCE if you use the "Binary Component", otherwise can steal pwds. Full report on way.
— Tavis Ormandy (@taviso)
Компания уже исправила последние две уязвимости и подготовила подробный отчёт, прочитать который можно в её .
The issue reported by Tavis Ormandy has been resolved. We will provide additional details on our blog soon.
— LastPass (@LastPass)
— .