29.07.2016 Новости, БезопасностьДва специалиста в области ИБ независимо друг от друга обнаружили уязвимости, присутствующие в популярном менеджере паролей LastPass. Первую нашел Матиас Карлссон, исследователь из компании Detectify. Он написал в своем блоге, что проблема скрыта в коде JavaScript, который отвечает за парсинг URL-страницы, на которой работает LastPass. Заманив пользователя на адрес типа attacker-site.com/@twitter.com/@script.php, функция парсинга URL LastPass может быть введена в заблуждение и считать, что речь идёт о сайте twitter.com, а не attacker-site.com. Поскольку в LastPass есть функция автозаполнения, приложение заполняет формы логина и пароля данными пользователя. Если хакер на этом сайте запустит код JavaScript, который автоматически разбивает и записывает любой текст в формы, то сможет получить идентификационные данные пользователя. Карлссон проинформировал разработчиков LastPass, после чего было выпущено обновление приложения. Другую уязвимость обнаружил исследователь проекта Google Project Zero Тавис Орманди. Подробности об этой уязвимости не раскрываются, но специалист сообщил, что с её помощью, как и в предыдущем случае, атакующий может получить полный доступ к паролям жертвы, если та посетит вредоносный сайт. В настоящее время атак с использованием данной ошибки не обнаружено. Орманди сообщил, что LastPass содержит множество критических проблем, используя которые злоумышленник может получить полный доступ к учётным записям пользователей, а следовательно и к аккаунтам ...
читать далее.