В популярном парольном менеджере LastPass закрыта критическая уязвимость, допускающая восстановление паролей пользователя открытым текстом из дампа памяти под операционной системой Windows в браузере Internet Explorer.

Всем пользователям рекомендуется срочно обновиться на новые версии 2.5.0/1/2, которые вышли 16 августа для всех браузеров. Тем более что в этом апдейте представлен еще и ряд новых функций.

Единственная функция парольного менеджера — надежно защитить одноразовые пароли, которые программа генерирует случайным образом для каждого сайта. В случае, когда эти пароли обнаружены в памяти открытым текстом, то подобная утилита полностью себя дискредитирует.

В данном случае проблему случайно заметил один из пользователей, обнаруживший свои пароли в дампе. Он предположил, что после автозаполнения форм в Internet Explorer пароли текущей сессии остаются в памяти. Пароли с предыдущих сессий в дампе отсутствуют.

По мнению разработчиков парольного менеджера LastPass, эту уязвимость «чрезвычайно сложно использовать — требуется, чтобы пользователь запустил IE и залогинился в LastPass, затем нужно сделать снимок памяти и осуществить поиск в нем».

Естественно, если есть физический доступ к компьютеру, то задача на порядок упрощается.

Просмотр ссылок доступен только зарегистрированным пользователям