Исследователь из команды Google Project Zero Тэвис Орманди 27 июля сообщил, что выявил уязвимость в сервисе управления паролями LastPass, которая позволяет осуществить полную компрометацию аккаунтов миллионов пользователей.
Специалист отметил, что ввиду ошибки в дизайне скрипт JavaScript мог заполучить доступ к LastPass и без ведома пользователя вступать во взаимодействие с приложением. Как утверждает Орманди, взломщик может воспользоваться уязвимостью, вынудив жертву посетить веб-сайт, сформированный специальным образом. В итоге у злоумышленника появляется возможность удалять файлы, выполнять скрипты, похищать все пароли, проходить авторизацию в целевом аккаунте для хищения новых паролей.
Разработчиками LastPass выпущено исправление, устраняющее эту уязвимость. В пресс-релизе компании подчеркивается, что уязвимость присутствует лишь в дополнении LastPass для Firefox.