Разработчики популярного менеджера паролей LastPass выпустили обновление для закрытия серьёзной уязвимости, которая могла позволить хакерам красть пользовательские пароли и выполнять вредоносный код на их компьютерах. Уязвимость была обнаружена исследователем из компании Google Тависом Орманди и разработчики были поставлены о ней в известность в понедельник. Уязвимость существует в расширениях для браузеров Chrome, Firefox и Edge.
Согласно описанию на страницах проекта Google Project Zero, уязвимость даёт злоумышленникам доступ к внутренним командам расширений LastPass. Эти команды используются для копирования паролей и автозаполнения веб-форм информацией из безопасного хранилища. Если установлен двоичный компонент расширения, команда openattach может использоваться для запуска на компьютере произвольного кода. Разработчики LastPass выпустили обновление для своего сервера, которое запрещает использовать эту уязвимость, и собираются включить полноценное исправление в новых версиях менеджера паролей.
Во вторник Орманди нашёл ещё одну уязвимость LastPass в расширении для Firefox, которая связана с первой. Эта уязвимость была закрыта в новой версии расширения для Firefox под номером 4.1.36a, вышедшей в среду. Разработчики утверждают, что у них нет свидетельств использования уязвимостей в атаках. По этой причине они считают, что пользователям нет необходимости менять свои хранящиеся в LastPass пароли.