fbpx
Сентябрь 18, 2019 5:40 | alina |

Тэвис Орманди сообщил о том, что в LastPass была выявлена уязвимость, которая позволяла украсть данные, использованные для входа на последнем веб-сайте.

Использовать эту уязвимость в атаке можно было в браузерах Google Chrome и Opera. Для этого жертва должна была выполнить несколько шагов.
По эксперта словам, злоумышленник мог создать определённый сценарий кликджекинга для пользователя менеджера паролей LastPass.

Схема выглядит примерно так: пользователя принуждают произвести вход на определённом ресурсе, а затем его привлекают на вредоносный или скомпрометированный сайт, на котором загружается специальный iframe.

Подобная атака будет успешна для хакера в том случае, когда все действия выполнены в одной вкладке браузера. При внедрении вредоносного iframe запускается цепочка верификации, а затем происходит утечка последних кешированных данных, подставленных в поле «пароль».
«Таким образом, благодаря кликджекингу происходит утечка учётных данных, используемых на предыдущем сайте», — рассказал исследователь в отчёте.

LastPass уже выпустили обновлённые версии расширения.


На нашем сайте мы используем файлы cookie, чтобы сделать вашу работу наиболее комфортной. Продолжая пользоваться нашим сайтом, не меняя настроек, вы тем самым выражаете согласие на использование нами данных файлов. Более подробно вы можете почитать о них в разделе Политики конфиденциальности.