SOS :: Security Operation Space
15 октября, вторник, 00:00
|
Hot News:

Уязвимость LastPass сливала последние использованные учетные данные

16 сентября 2019 г., понедельник, 14:15

В популярном менеджере паролей LastPass нашли уязвимость, которая позволяла выкрасть учётные данные, использованные для входа на последнем веб-сайте.

Задействовать этот баг в атаке можно было в браузерах Google Chrome и Opera. Помимо этого, атакуемого пользователя надо было заставить выполнить несколько шагов.

О проблеме сообщил Тэвис Орманди. По его словам, злоумышленник мог создать определённый сценарий кликджекинга для пользователя LastPass.

Упрощённо схема выглядит так: жертву заставляют произвести вход на определённом ресурсе, а затем ее заманивают на вредоносный или скомпрометированный сайт, на котором загружается специальный iframe.

Орманди направил разработчикам LastPass технические детали уязвимости, используя которую киберпреступники могут собрать последние учётные данные.

Такая атака увенчается успехом в том случае, если все действия совершаются в одной вкладке браузера. В случае внедрения вредоносного iframe запускается цепочка верификации, а затем происходит утечка последних кешированных данных, подставленных в поле «пароль».

«Таким образом, благодаря кликджекингу происходит утечка учётных данных, используемых на предыдущем сайте», — объяснил Орманди в отчёте.

Компания уже выпустила обновлённые версии расширения LastPass.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
13:15
10:15
09:15
08:15
07:15
06:15
05:38
17:15
15:59
15:15
14:15
12:15
10:15
09:15
08:15
07:15
06:15
05:55


© 2013—2019 SOS :: Security Operation Space (Пространство Операций Безопасности)  // Обратная связь  | 0.425
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.