Уязвимость в LastPass позволяет узнать пароли пользователя В популярном парольном менеджере LastPass закрыта критическая уязвимость, допускающая восстановление паролей пользователя открытым текстом из дампа памяти под операционной системой Windows в браузере Internet Explorer. Всем пользователям рекомендуется срочно обновиться на новые версии 2.5.0/1/2, которые вышли 16 августа для всех браузеров. Тем более что в этом апдейте представлен еще и ряд новых функций. Единственная функция парольного менеджера — надежно защитить одноразовые пароли, которые программа генерирует случайным образом для каждого сайта. В случае, когда эти пароли обнаружены в памяти открытым текстом, то подобная утилита полностью себя дискредитирует. В данном случае проблему случайно заметил один из пользователей, обнаруживший свои пароли в дампе. Он предположил, что после автозаполнения форм в Internet Explorer пароли текущей сессии остаются в памяти. Пароли с предыдущих сессий в дампе отсутствуют. По мнению разработчиков парольного менеджера LastPass, эту уязвимость «чрезвычайно сложно использовать — требуется, чтобы пользователь запустил IE и залогинился в LastPass, затем нужно сделать снимок памяти и осуществить поиск в нем». Естественно, если есть физический доступ к компьютеру, то задача на порядок упрощается. 19.08.2013 http://www.xakep.ru/post/61102/