Про це повідомляється в блозі LastPass.

Баг виявив експерт Google Project Zero Тевіс Орманді (Tavis Ormandy). Уразливість допускала витік облікових даних, введених на раніше посещенном сайті, і розробники LastPass повідомляють, що проблема зачіпала розширення для Chrome і Opera.

За словами Орманді, за допомогою клікджекінга зловмисники могли отримувати облікові дані з відвіданого раніше сайту, застосовуючи для цього клікджекінг, iframe і перенаправляючи користувачів LastPass на скомпрометовані або шкідливі сайти. Це виявилося не складно, так як зловмисник міг замаскувати шкідливе посилання як URL-адресу Google Translate.

Експлуатація бага вимагала, щоб користувач ввів облікові дані, скориставшись іконкою LastPass, відвідав зламаний або шкідливий сайт, а також кілька разів клікнув по сторінці.

Орманді оперативно повідомив компанію про проблему, баг швидко усунули. Повідомляється, що ніяких ознак експлуатації цієї уразливості зловмисниками не виявлено.

  • Дослідники з компанії AdaptiveMobile Security розповіли про серйозну атаку на SIM-карти під назвою Simjacker, що дозволяє стежити за людьми.