29.07.2016 Новости, БезопасностьДва специалиста в области ИБ независимо друг от друга обнаружили уязвимости, присутствующие в популярном менеджере паролей LastPass. Первую нашел Матиас Карлссон, исследователь из компании Detectify. Он написал в своем блоге, что проблема скрыта в коде JavaScript, который отвечает за парсинг URL-страницы, на которой работает LastPass. Заманив пользователя на адрес типа attacker-site.com/@twitter.com/@script.php, функция парсинга URL LastPass может быть введена в заблуждение и считать, что речь идёт о сайте twitter.com, а не attacker-site.com. Поскольку в LastPass есть функция автозаполнения, приложение заполняет формы логина и пароля данными пользователя. Если хакер на этом сайте запустит код JavaScript, который автоматически разбивает и записывает любой текст в формы, то сможет получить идентификационные данные пользователя. Карлссон проинформировал ...
читать далее.
