LastPlass: van egy kis gond

LastPlass: van egy kis gond
A LastPass szolgáltatásában találtak biztonsági réseket a Google IT-biztonsági nagymenői.

Valószínűleg a legmagasabb szintű riasztó szólal meg a techcégeknél, amikor Tavis Ormandytól, a Google Project Zero csapatának tagjától érkezik email. Most épp a LastPass szolgáltatásával és az ahhoz kapcsolódó kliensoldali, böngészős pluginokkal foglalkozik az IT-biztonsági kutató, talált is rögtön három nagyon súlyos sebezhetőséget - írja a hwsw.hu.

Az első probléma a LastPass firefoxos beépülőjében van, egész pontosan annak kivezetés alatt, 3.x-es ágán. Ezt a sorozatot a LastPass már nem tartja karban (biztonsági javításokat azért kap), azonban (feltételezhetően figyelmetlenség miatt) egy, a 4.x-es ágon elvégzett, 2015-ös javítás backportolásába hiba csúszott, így az a régi verzióban továbbra is kihasználható maradt. A hiba lehetővé tette, hogy támadók megfelelően preparált weboldalra csábítva tetszőleges doménhez tartozó LastPass-jelszavakat lopjanak a felhasználótól - meglehetősen súlyos probléma egy jelszókezelőnél. A sebezhetőséget a LastPass már javította, a felhasználóknál automatikusan frissül a beépülő a 3.3.4-es verzióra, amely már biztonságos. Szerencsére a felhasználók túlnyomó része már a 4.x-et használja, így az érintett felhasználók köre relatíve szűk volt.

A második hiba a LastPass belső parancsaihoz enged hozzáférést - megint csak a meglátogatott weboldal készítőjének. Ilyen parancsokból nagyon sok (több száz) van, a legveszélyesebbek értelemszerűen a jelszavak másolására és beillesztésére vonatkoznak, amelyek a weboldal számára lehetővé teszik ezek ellopását. Még egy fokkal veszélyesebb, hogy a LastPass-bináris jelenlétében elérhetővé válik a külső állományok megnyitását lehetővé tévő parancs is, ami távoli kódfuttatást tesz lehetővé. A LastPass ezt a hibát is gyorsan javította az érintett domén letiltásával - amire Ormandy is elismerte, hogy a közvetlen veszély elhárult, az alap problémát azonban ez még nem orvosolta, várhatóan alaposabb javításra lesz ehhez szükség. A harmadik hibáról a teljes cikkben olvashat.

Kövesd az oldalunkat a Facebook-on és a Twitteren is!



Címkék: vírusvédelem