Об этом сообщается в блоге LastPass.

Баг обнаружил эксперт Google Project Zero Тэвис Орманди (Tavis Ormandy). Уязвимость допускала утечку учетных данных, введенных на ранее посещенном сайте, и разработчики LastPass сообщают, что проблема затрагивала расширения для Chrome и Opera.

По словам Орманди, при помощи кликджекинга злоумышленники могли извлекать учетные данные из посещенного ранее сайта, применяя для этого кликджекинг, iframe и перенаправляя пользователей LastPass на скомпрометированные или вредоносные сайты. Это оказалось не сложно, так как злоумышленник мог замаскировать вредоносную ссылку как URL-адрес Google Translate.

Эксплуатация бага требовала, чтобы пользователь ввел учетные данные, воспользовавшись иконкой LastPass, посетил взломанный или вредоносный сайт, а также несколько раз кликнул по странице.

Орманди оперативно уведомил компанию о проблеме, баг быстро устранили. Сообщается, что никаких признаков эксплуатации этой уязвимости злоумышленниками не обнаружено.

  • Исследователи из компании AdaptiveMobile Security рассказали о серьезной атаке на SIM-карты под названием Simjacker, позволяющей следить за людьми.