Scoperto exploit completo Last Pass 4.1.42

Tavis Ormandy, un membro prolifico dell’iniziativa Project Zero di Google, ha rivelato di aver scoperto un nuovo problema di sicurezza in LastPass 4.1.42 (e forse anche prima).

Ormandy ha rivelato di aver scoperto un exploit, ma non lo ha rivelato. Le scoperte di Project Zero vengono segnalate alle aziende che producono i prodotti interessati. Le aziende hanno 90 giorni per reagire, di solito creando una nuova versione del prodotto che mettono a disposizione pubblicamente di tutti i clienti.

Le informazioni sono scarse in questo momento, ma dipinge un quadro cupo. Su Twitter, ha detto quanto segue:

Oops, nuovo bug di LastPass che interessa 4.1.42 (Chrome e FF). RCE se usi il “Binary Component”, altrimenti puoi rubare pwds. Rapporto completo in arrivo.

Cita esplicitamente l’ultima versione di LastPass per Google Chrome e Firefox (versione 4.1.42) e che l’exploit può essere utilizzato per l’esecuzione di codice remoto o il furto di password.

In seguito ha rivelato di avere un exploit completamente funzionante che funziona senza alcun prompt su Windows ed è composto solo da due righe di codice. Inoltre, ha notato che l’exploit potrebbe funzionare anche su altre piattaforme.

Ho un exploit completo che funziona senza alcun prompt su Windows, potrebbe essere fatto funzionare su altre piattaforme. Dettagli inviati a LastPass.

L’exploit completo è costituito da due righe di javascript. #sigh ¯ \ _ (ツ) _ / ¯

LastPass pubblicato un messaggio su Twitter in cui si afferma che è a conoscenza del problema segnalato e che sta lavorando a una soluzione e ha messo in atto una soluzione alternativa.

Siamo a conoscenza del rapporto di @taviso e il nostro team ha messo in atto una soluzione alternativa mentre lavoriamo a una risoluzione. Restate sintonizzati per gli aggiornamenti.

Subito dopo, la società ha pubblicato un secondo messaggio in cui si informava che il problema segnalato era stato risolto.

Il problema segnalato da Tavis Ormandy è stato risolto. Forniremo presto ulteriori dettagli sul nostro blog.

Secondo il tweet, al momento non è richiesta alcuna azione da parte dell’utente. Nota: Aggiorneremo l’articolo delle notizie quando il post del blog di LastPass sarà pubblicato.

Questo nuovo bug di LastPass non è il primo scoperto da Tavis Ormandy. Ormandy ha scoperto una vulnerabilità di compromissione remota in LastPass a metà del 2016.

Nel 2015, LastPass ha rilevato attività sospette sulla rete aziendalee, più recentemente, nel 2017, sono stati rilevati problemi nell’applicazione mobile del gestore di password per Android.

Non è chiaro come gli aggressori possano sfruttare il problema di sicurezza appena scoperto. I clienti LastPass che vogliono essere al sicuro dovrebbero considerare di disabilitare il gestore delle password per il momento fino a quando il problema di sicurezza non sarà risolto. Coloro che non possono farlo dovrebbero stare molto attenti quando si tratta dei siti che visitano su Internet.

Aggiornare: LastPass ha pubblicato il proprio rapporto di sicurezza sulla questione. Secondo l’azienda, nessun “dato sensibile degli utenti è stato perso o compromesso” a conoscenza dell’azienda. Ciò significa che gli utenti non devono modificare le proprie password principali o le credenziali del sito.

Tutte le estensioni per i browser sono state patchate e un problema è stato risolto sul lato server.

Ora tu: Utilizzi un gestore di password?