LastPass maak die fout onthulling van die wagwoord reg

LastPass maak die fout onthulling van die wagwoord reg

Volgens Google Project Zero-navorser bevat die blaaieruitbreidings aan die LastPass-wagwoordbestuursinstrument ‘n kwesbaarheid wat beteken dat gebruikerswagwoorde uitgelek kan word.

Hierdie kwesbaarheid, wat die Chrome- en Opera-uitbreidings beïnvloed het, het beteken dat kwaadwillige webwerwe LastPass kon mislei om gebruikersname en wagwoorde te openbaar. LastPass verduidelik dat die probleem te wyte was aan ‘n “beperkte reeks omstandighede” wat klikke moontlik gemaak het. Die goeie nuus is dat die kwesbaarheid opgelos is.

Sien ook:

Nog beter nuus is dat gebruikers niks hoef te doen om hulself te beskerm nie. LastPass het ‘n opdatering van die uitbreiding gepubliseer, wat outomaties geïnstalleer sal word – dus as u aanvaar dat u ‘n internetverbinding het, sal alles versorg word.

In die pos op die LastPass-webwerf verduidelik die maatskappy:

Ons span het onlangs ‘n fout ondersoek wat sommige LastPass-uitbreidings beïnvloed het en dit opgelos. Tavis Ormandy, ‘n veiligheidsnavorser by Google Project Zero, het hierdie probleem aan ons onthul. Sy verslag het ‘n beperkte reeks omstandighede geopenbaar rakende spesifieke blaaieruitbreidings wat ‘n aanvaller potensieel in staat sou stel om ‘n “klik” -scenario te skep.

Om hierdie fout te benut, sal die LastPass-gebruiker ‘n aantal aksies moet uitvoer, insluitend die wagwoord invul met die LastPass-ikoon, dan die aangevalde of kwaadwillige webwerf besoek en uiteindelik die werf verskeie kere moet laat klik. Die uitbuiting kan lei tot die bekendmaking van u webwerf se mees onlangse geloofsbriewe wat deur LastPass voltooi is. Ons het vinnig daaraan gewerk om die pleister te ontwikkel en te verifieer dat die oplossing omvattend met Tavis was.

Ons het nou hierdie fout opgelos; geen gebruikersaksie is nodig nie en u LastPass-blaaieruitbreiding word outomaties opgedateer.

Daarbenewens, hoewel die potensiële blootstelling as gevolg van ‘n fout beperk was tot spesifieke blaaiers (Chrome en Opera), het ons om veiligheidsredes die opdatering in alle blaaiers geïmplementeer.

Volgens die Kode vir Verantwoordelike Openbaarmaking is die besonderhede van die fout eers Sondag bekend gemaak. Die ontdekkings van die wetenskaplike Tavis Ormande is op die Project Zero-webwerf bekend gemaak.

Hy verduidelik:

Ek het opgemerk dat u ‘n pop-upvenster kan skep sonder om do_popupregister () te skakel via iframing popupfilltab.html (d.w.s. via die moz-uitbreiding, die ms-browser-uitbreiding, die chrome-uitbreiding, ens.). Dit is ‘n geldige webhulpbronbron.

Omdat do_popupregister () nooit opgeroep word nie, gebruik ftd_get_frameparenturl () eenvoudig die laaste cache-waarde in g_popup_url_by_tabid vir die huidige kaart. Dit beteken dat u deur te klik, die geloofsbriewe vir die vorige bladsy wat by die huidige oortjie aangemeld is, kan lek.

Die kwesbaarheid het beteken dat ‘n spesiaal gekodeerde kwaadwillige werf toegang het tot die geloofsbriewe wat op ‘n voorheen besoekte webwerf gebruik is.

Sorg net dat u ‘n update na LastPass 4.33.0 of nuwer het, en dat u veilig is.