Уязвимости Исследователь раскрыл 0day уязвимости в крупных менеджерах паролей

akulapera

akulapera

Spes Melioris Aevi
Moderator
Регистрация
19.08.25
Сообщения
138
Реакции
154
Для просмотра ссылки Войди или Зарегистрируйся
На конференции DEF CON 33 чешский исследователь в области безопасности Марек Тот (Marek Tóth) представил серию незакрытых уязвимостей нулевого дня, связанных с кликджекингом, которые затрагивают браузерные плагины для широкого спектра менеджеров паролей, включая: 1Password, Bitwarden, Dashlane, Enpass, iCloud Passwords, Keeper, LastPass, LogMeOnce, NordPass, ProtonPass и RoboForm.

После раскрытия информации несколько менеджеров паролей по-прежнему остаются уязвимыми и подверженными этим уязвимостям, в том числе: 1Password, Bitwarden, Enpass, iCloud Passwords, LastPass и LogMeOnce. LogMeOnce так и не ответил на попытки исследователей связаться с ним. 1Password и LastPass отметили эти уязвимости как «информативные». Практически говоря, эти уязвимости вряд ли будут исправлены без давления со стороны клиентов этих поставщиков.

Многие из нас, присутствовавших на этой лекции, были обеспокоены этими выводами и отсутствием оперативного реагирования со стороны поставщиков менеджеров паролей для адекватного устранения этих рисков. В конце я услышал, как один из участников сказал: «Что ж, пора отключить наш браузерный менеджер паролей во всей нашей организации». Другой с юмором заметил: «Пора уйти в лес и жить отшельником». Разумеется, аудитория была шокирована; мы все вместе доверяем нашим менеджерам паролей, и было удивительно, как легко их можно взломать.

Воздействие
Раскрытые Тотом уязвимости позволяют хакерам похищать конфиденциальные данные из менеджеров паролей, такие как данные кредитных карт, имена, адреса и номера телефонов, если жертва посещает вредоносный веб-сайт. Кроме того, если уязвимый веб-сайт, на котором хранятся учетные данные вашего менеджера паролей, имеет уязвимость межсайтового скриптинга (XSS) или возможность захвата субдомена, хакеры могут использовать ее для похищения учетных данных для входа (имен пользователей и паролей), кодов 2FA и ключей доступа.

По состоянию на 19 августа 2025 года следующие версии были подтверждены как по-прежнему уязвимые:
  • Bitwarden: Bitwarden Password Manager: 2025.7.0 (последняя)
  • 1Password: 1Password – Password Manager: 8.11.4.27 (последняя)
  • LastPass: LastPass: 4.146.3 (последняя версия)
  • LogMeOnce: LogMeOnce: 7.12.4 (последняя версия)
  • Enpass: Enpass: 6.11.6 (последняя версия)
  • Apple: iCloud Passwords: 3.1.25 (последняя версия)
* Обновление (20.08.2025): Bitwarden выпустил исправление в версии 2025.8.0, которое должно быть доступно в магазинах браузеров после прохождения обычной процедуры проверки.

Source: Для просмотра ссылки Войди или Зарегистрируйся
 
  • Like
Реакции: Vinki
Ice IX

Ice IX

Evil Grandfather
Local User
Регистрация
16.08.25
Сообщения
248
Реакции
333
Депозит
0.00
akulapera написал(а):
Для просмотра ссылки Войди или Зарегистрируйся
На конференции DEF CON 33 чешский исследователь в области безопасности Марек Тот (Marek Tóth) представил серию незакрытых уязвимостей нулевого дня, связанных с кликджекингом, которые затрагивают браузерные плагины для широкого спектра менеджеров паролей, включая: 1Password, Bitwarden, Dashlane, Enpass, iCloud Passwords, Keeper, LastPass, LogMeOnce, NordPass, ProtonPass и RoboForm.

После раскрытия информации несколько менеджеров паролей по-прежнему остаются уязвимыми и подверженными этим уязвимостям, в том числе: 1Password, Bitwarden, Enpass, iCloud Passwords, LastPass и LogMeOnce. LogMeOnce так и не ответил на попытки исследователей связаться с ним. 1Password и LastPass отметили эти уязвимости как «информативные». Практически говоря, эти уязвимости вряд ли будут исправлены без давления со стороны клиентов этих поставщиков.

Многие из нас, присутствовавших на этой лекции, были обеспокоены этими выводами и отсутствием оперативного реагирования со стороны поставщиков менеджеров паролей для адекватного устранения этих рисков. В конце я услышал, как один из участников сказал: «Что ж, пора отключить наш браузерный менеджер паролей во всей нашей организации». Другой с юмором заметил: «Пора уйти в лес и жить отшельником». Разумеется, аудитория была шокирована; мы все вместе доверяем нашим менеджерам паролей, и было удивительно, как легко их можно взломать.

Воздействие
Раскрытые Тотом уязвимости позволяют хакерам похищать конфиденциальные данные из менеджеров паролей, такие как данные кредитных карт, имена, адреса и номера телефонов, если жертва посещает вредоносный веб-сайт. Кроме того, если уязвимый веб-сайт, на котором хранятся учетные данные вашего менеджера паролей, имеет уязвимость межсайтового скриптинга (XSS) или возможность захвата субдомена, хакеры могут использовать ее для похищения учетных данных для входа (имен пользователей и паролей), кодов 2FA и ключей доступа.

По состоянию на 19 августа 2025 года следующие версии были подтверждены как по-прежнему уязвимые:
  • Bitwarden: Bitwarden Password Manager: 2025.7.0 (последняя)
  • 1Password: 1Password – Password Manager: 8.11.4.27 (последняя)
  • LastPass: LastPass: 4.146.3 (последняя версия)
  • LogMeOnce: LogMeOnce: 7.12.4 (последняя версия)
  • Enpass: Enpass: 6.11.6 (последняя версия)
  • Apple: iCloud Passwords: 3.1.25 (последняя версия)
* Обновление (20.08.2025): Bitwarden выпустил исправление в версии 2025.8.0, которое должно быть доступно в магазинах браузеров после прохождения обычной процедуры проверки.

Source: Для просмотра ссылки Войди или Зарегистрируйся
Нажмите для раскрытия...
Хорошо что староверов не затронуло. Для просмотра ссылки Войди или Зарегистрируйся
 
  • Like
Реакции: akulapera
Войдите или зарегистрируйтесь для ответа.
Сверху Снизу