LastPass opravil chybu, ktorá by škodlivému webu umožnila extrahovať predchádzajúce heslo zadané rozšírením prehľadávača. ZDNet uvádza, že chybu objavil Tavis Ormandy, výskumný pracovník v tíme spoločnosti Google Project Zero, a bola odhalená v správe o chybe z 29. Augusta. LastPass problém sa vyriešil 13. Septembra a nasadil aktualizáciu do všetkých prehliadačov, kde by sa mal automaticky aplikovať, čo by používatelia LastPass mohli inteligentne overiť.
Chyba funguje tak, že priláka užívateľov na škodlivú webovú stránku a oklamá rozšírenie prehliadača, aby používali heslo z predtým navštívenej webovej stránky. Ormandy poznamenáva, že útočníci by mohli používať službu ako Google na maskovanie škodlivej adresy URL a na podvádzanie zraniteľných užívateľov v navštevovaní nepoctivého webu.
Hoci LP hovorí, že aktualizácia by sa mala uplatňovať automaticky, určite by ste mali skontrolovať, či používate najaktuálnejšiu verziu rozšírenia prehľadávača, najmä ak používate softvér, ktorý vám umožňuje zakázať automatické aktualizácie rozšírení. Chyba bola oprava rozšírením verzie 4.33.0. LP uviedol, že sa domnieval, že chyba sa týka iba softvérov Chrome a Opera, ale ako preventívne opatrenie používa vo všetkých služieb rovnakú opravu.
Vo vyhlásení uverejnenom na svojom blogu LP znížil závažnosť chyby. Manažér bezpečnostného inžinierstva firmy, Ferenc Kun, povedal, že zneužívanie sa spoliehalo na užívateľa, ktorý navštívil škodlivé stránky, a potom ho niekto oklamal, aby klikol na stránku „niekoľkokrát“. Ormandy napriek tomu dala chybe hodnotenie závažnosti „Vysoká“. Chyba bola zodpovedne oznámená LP predtým, ako bola zverejnená, a neexituje žiadny dôkaz o tom, že by sa zneužitie na webe niekedy vyskytlo.
Vo vyhlásení uverejnenom na svojom blogu znížili závažnosť chyby. Manažér bezpečnostného inžinierstva firmy, Farenc Kun, povedal, že zneužívanie sa spoliehalo na užívateľa, ktorý navštívil škodlivé stránky, a potom ho niekto oklamal, aby klikol na stránku „niekoľkokrát“.