В сервисе хранения паролей LastPass выявлены уязвимости, которые позволяют злоумышленникам воровать пароли пользователей. Об их обнаружении заявил эксперт по безопасности Google Тэвис Орманди. Согласно описанию на страницах проекта Google Project Zero, ошибки в коде позволяют любому лицу получить доступ к внутренним командам в расширении LastPass для браузеров Chrome, Firefox и Edge. Эти команды используются для копирования паролей и автозаполнения веб-форм информацией из безопасного хранилища. Если установлен двоичный компонент расширения, команда openattach может использоваться для запуска на компьютере произвольного кода. Для осуществления атаки преступнику требуется всего лишь заманить жертву на вредоносный сайт.
Орманди и ранее находил уязвимости в LastPass, но они, как правило, относились к старым версиям расширений. На этот раз баг касается последней версии менеджера паролей. До сих пор разработчики LasPass оперативно устраняли найденные уязвимости, но проблема в том, что хакеры предпочитают не сообщать о них компаниям или общественности, а тайком эксплуатировать — именно так и пополняются хакерские базы с паролями пользователей популярных сервисов. Экперт тем не менее утверждает, что признаков кражи паролей пользователей он не обнаружил, но советует обновиться до новейшей версии приложения, где уязвимости в расширениях закрыты: Firefox — 4.1.36, Chrome — 4.1.43, Edge — 4.1.30 и Opera — 4.1.28.