Password-manageren LastPass har patchet et kritisk sikkerhedshul, som har tilladt ondsindede hjemmesider at opsnuse brugernavne og kodeord fra tidligere besøgte hjemmesider.
Det skriver The Verge.
Fejlen bestod i, at en ondsindet hjemmeside kunne få adgang til koder og brugernavne fra en anden vilkårlig hjemmeside, som offeret tidligere havde logget ind på.
Det er Travis Ormandy fra Googles it-sikkerhedsgruppe ved navn Project Zero, der har fundet sårbarheden i kodeordshuskeren.
»LastPass could leak the last used credentials due to a cache not being updated. This was because you can bypass the tab credential cache being populated by including the login form in an unexpected way!,« skriver han på Twitter.
LastPass har efterfølgende udstedt en opdatering, der lukker for sikkerhedshullet.
I en bug-rapport forklarer Ormandy konkret om sårbarheden.
Ikke første opdagelse
Det er ikke første gang, at Travis Ormandy har haft fingrene nede i LastPass-tjenesten.
I 2017 meldte han ud, at han havde fundet tre andre kritiske sikkerhedshuller i tjenesten.
Også dengang var der tale om sårbarheder, der kunne udnyttes af tredjepart til at opsnappe kodeord.