Изглежда, че март не е щастливия месец за Lastpass, след като Тавис Орманди от Google Project Zero разкри не една, а две уязвимости, свързани с популярния мениджър на пароли, и то само за седмица. Заедно с това, Орманди публикува и PoC (proof-of-concept) код, с който доказва валидността на откритието си.

Става въпрос за проблеми, открити в приставките за Chrome и Firefox. Експлоатирането им може да доведе до кражба на данни и отдалечено изпълнение на код, ако потребителят на въпросните приставки посети зловредна страница в Интернет с код, възползващ се от проблема. В случая с възможността за отдалечено изпълнение на зловреден код, потребителя е нужно да има и инсталиран инсталационния пакет, свързан с Lastpass.“Този скрипт отправя неразрешени съобщения от прозореца към разширението. Видно е, че става дума за грешка. Това позволява пълен достъп до вътрешните привилегировани RPC (remote procedure call) команди. Налични са стотици вътрешни RPC команди, но но видимо лошоте са тези, които отговарят за копирането и попълването в пароли (copypass, fillform и т.н.)“, пише Орманди в своя доклад. От екипа на Lastpass съобщиха, че проблемите са оправени, но The Register в материал от вчера, твърди, че той все още е налице.

В края на миналата седмица отново Орманди сподели в Twitter, че е изпратил доклад за налична уязвимост в разширението на услугата за Mozilla Firefox, за третата и най-популярна версия на приставката за Lastpass.

В края на февруари ви предадохме за доклад на група специалисти по сигурност, които разкриха множество уязвимости в популярни мениджъри за пароли за Android, между които и за Lastpass. Отделно от това, миналата година, отново Орманди се натъкна на сериозен проблем отново в Lastpass. И за да е картинката пълна, вчера Орманди публикува в Twitter съобщение за открита от него съвсем нова уязвимост в Lastpass. Вероятно, ако това ви звучи достатъчно притеснително, може, както съветват El Reg, да помислите за смяна на своята любима програма за управление на пароли. С офлайн мениджър например. Или, ако тези новини не ви притесняват толкова, за всеки случай да включите възможността за двуфакторна авторизация при вписването си в LastPass.

Абонирай се
Извести ме за
guest
0 Коментара
Отзиви
Всички коментари