Уязвимость менеджера паролей в Firefox позволяла обойти мастер-пароль

Уязвимость менеджера паролей в Firefox позволяла обойти мастер-пароль

Mozilla выпустила обновление Firefox. В этом релизе разработчики устранили интересную уязвимость, затрагивающую встроенный в браузер менеджер паролей. Оказалось, что злоумышленник мог обойти мастер-пароль и получить доступ к сохранённым паролям от сайтов.

Уязвимость получила среднюю степень опасности, в настоящее время она отслеживается под идентификатором CVE-2019-11733. С релизом Firefox 68.0.2 Mozilla устранила эту брешь.

Настройка мастер-пароля настоятельно рекомендуется всем пользователям — это позволит защитить ваши учетные данные от посторонних глаз. Если пользователь устанавливает мастер-пароль, то при попытке посмотреть сохранённые учетные данные в Firefox придётся ввести его.

Однако разработчики Mozilla выяснили, что мастер-пароль можно легко обойти. Все, что потребуется для этого — скопировать интересующий пароль в буфер обмена. Для этого нужно будет кликнуть правой кнопкой мыши и выбрать опцию «скопилось пароль».

С выходом патча пользователи будут вынуждены ввести мастер-пароль при попытке скопировать учетные данные.

«Это, конечно, не настолько опасный баг, ведь он не позволяет абсолютно любому получить доступ к паролям. Однако пользователям все равно рекомендуется обновить Firefox», — объясняет эксперт компании Sophos Пол Даклин.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Новые защитные функции Pastebin можно использовать в кибератаках

На прошлой неделе Pastebin, онлайн-сервис для хранения текста и кусков кода, представил две новые защитные функции. Однако отдельные эксперты считают, что этими нововведениями могут воспользоваться киберпреступники.

Новые функции — «Burn After Read» и «Password Protected Pastes». Первая позволяет удалять загруженный текстовый контент сразу после его прочтения, вторая — защитить свой код паролем.

На анонс новых возможностей отреагировали эксперты в области кибербезопасности, которые заявили, что злоумышленники могут использовать их для организации так называемого командного центра (C&C), с которым будут связываться вредоносные программы. В этом случае исследователям будет гораздо труднее изучать кибератаки.

Кстати, ранее уже встречались истории использования Pastebin во вредоносных кампаниях. Например, майнер WatchBog извлекал данные конфигурации и сами пейлоады из Pastebin.

В настоящее время представители онлайн-сервиса никак не отреагировали на критику специалистов.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru