События

Уязвимость в аддонах LastPass для Chrome и Firefox позволяет извлечь пароли пользователей

Уязвимость в аддонах LastPass для Chrome и Firefox позволяет извлечь пароли пользователей

Эксперт Google Project Zero Тэвис Орманди (Tavis Ormandy) обнаружил проблему в официальном расширении менеджера паролей LastPass для браузера Google Chrome. Согласно сообщению исследователя, контент-скрипт расширения содержит уязвимость, позволяющую злоумышленнику извлечь все хранящиеся в менеджере пароли или выполнить произвольный код. Для осуществления атаки преступнику требуется всего лишь заманить жертву на вредоносный сайт.

Как пояснил специалист, скрипт используется для обращения к определенному lastpass.com. При ближайшем рассмотрении скрипт выглядит следующим образом:

$ uglifyjs --beautify < 1minsignup/chrome/websiteConnector.js ... window.addEventListener("message", function(e) { e.data.fromExtension || chrome.runtime.sendMessage(e.data, function(e) {}); });

Скрипт проксирует неаутентифицированные оконные сообщения расширению. В этом и заключается ошибка, утверждает исследователь, поскольку каждый может выполнить

win = window.open("https://1min-ui-prod.service.lastpass.com/"); win.postMessage({}, "*");

и получить полный доступ к привилегированным внутренним RPC-командам LastPass, которых могут быть сотни, но самые опасные - это возможность копирования и заполнения паролей. Кроме того, путем эксплуатации openattach злоумышленник может выполнить произвольный код.

Специалисты LastPass уже исправили проблему в расширении Chrome, отключив 1min-ui-prod.service.lastpass.com.

Орманди обнаружил похожую уязвимость в расширении LastPass для Firefox. Компания уже выпустила патч, устраняющий проблему, однако исправленная версия 3.3.2 пока находится на рассмотрении специалистов Mozilla. О том, когда патч будет включен в состав обновления для Firefox, не сообщается.

Источник

Автор: Сергей Куприянов
22.03.2017 (15:22)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2017

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.