Всего неделю назад эксперт Google Project Zero Тэвис Орманди (Tavis Ormandy) сообщил о нескольких опасных багах в официальных расширениях LastPass для браузеров Chrome и Firefox. Оказалось, что для реализации атаки на пользователя злоумышленнику достаточно заманить его на вредоносный сайт. В итоге атакующий сможет получить доступ ко всем хранящимся в LastPass учетным данным, а в некоторых случаях атака может вообще привести к выполнению произвольного кода на машине жертвы.

Не успели разработчики LastPass устранить предыдущую партию проблем, как Орманди уже нашел новую. Так как патча для этой уязвимости пока нет, Орманди рассказал о баге лишь в общих чертах. Исследователь пишет, что пока он принимал душ, его озарило, и он придумал, как добиться исполнения кода в LastPass 4.1.43.