Два специалиста в области ИБ независимо друг от друга обнаружили уязвимости, присутствующие в популярном менеджере паролей LastPass. Первую нашел Матиас Карлссон, исследователь из компании Detectify. Он написал в своем блоге, что проблема скрыта в коде JavaScript, который отвечает за парсинг URL-страницы, на которой работает LastPass. Заманив пользователя на адрес типа attacker-site.com/@twitter.com/@script.php, функция парсинга URL LastPass может быть введена в заблуждение и считать, что речь идёт о сайте twitter.com, а не attacker-site.com.
Поскольку в LastPass есть функция автозаполнения, приложение заполняет формы логина и пароля данными пользователя. Если хакер на этом сайте запустит код JavaScript, который автоматически разбивает и записывает любой текст в формы, то сможет получить идентификационные данные пользователя. Карлссон проинформировал разработчиков LastPass, после чего было выпущено обновление приложения.
Другую уязвимость обнаружил исследователь проекта Google Project Zero Тавис Орманди. Подробности об этой уязвимости не раскрываются, но специалист сообщил, что с её помощью, как и в предыдущем случае, атакующий может получить полный доступ к паролям жертвы, если та посетит вредоносный сайт. В настоящее время атак с использованием данной ошибки не обнаружено.
Орманди сообщил, что LastPass содержит множество критических проблем, используя которые злоумышленник может получить полный доступ к учётным записям пользователей, а следовательно и к аккаунтам пользователей на других сайтах. Таким образом, миллионы пользователей находятся под угрозой, по крайней мере пока проблема не будет устранена. Орманди уже предоставил полный отчет о проблемах разработчикам LastPass.
Напомним, в прошлом году lastPass сообщила о компрометации своей сети. Тогда расследование не нашло доказательств того, что атакующие смогли украсть зашифрованные данные из хранилищ паролей пользователей или получить доступ к пользовательским учетным записям. В январе этого года независимый исследователь Шон Кессиди обнаружил, что LastPass уязвим перед фишинговыми атаками, из-за которых мастер-пароль пользователя может быть скомпрометирован.