Jump to content

Kritikus biztonsági hibát találtak a LastPass jelszókezelő alkalmazásban

2017. 03. 23. 15:00

Tavaly a Google Project Zero kutatója, Tavis Ormandy egyből talált néhány „nyilvánvaló” biztonsági problémát a népszerű LastPass programnál. Most úgy látszik szokást akar ebből csinálni, mert megint megtette.

A LastPass egy nagyon hasznos és ráadásul ingyenes jelszókezelő, ami elmenti a jelszavainkat és biztonságos hozzáférést biztosít számunkra bármilyen számítógépről vagy mobilról. Legalábbis ez lenne a cél, de ügye a jelszavak és a biztonság együtt emlegetése mindig sok érzelmet kavar fel, pláne ha kisül, hogy mégse vagyunk olyan nagy biztonságban, mint ahogy azt szeretnénk, hiába minden szép szó, meg ígéret.

Előző héten például Ormandy említést tett róla, hogy talált egy exploitot a LastPass Firefoxos kiterjesztésének egy verziójában. Mint kiderült a hibát kihasználva sebezhetővé váltak a jelszókezelő program Chrome és a Firefox kiterjesztését alkalmazó felhasználói, plusz egy másik biztonsági hézagra is ráakadtak.

Az első biztonsági rést még nem kezelték. Ormandy megemlítette, ennek oka az lehet, hogy a Mozillának idő kell felülvizsgálni a kiterjesztést, mielőtt még a felhasználók elé ereszti. A tweetje alapján ez a rés feltárhatja a felhasználók jelszavát, de nem derítettek ki még minden részletet.

A második probléma ennél jóval veszélyesebb. Lehetőséget ad illetékteleneknek a felhasználók jelszavainak ellpoására vagy, ha a bináris verziója van telepítve a kiterjesztésnek, akkor a támadó bármilyen kódot le tud futtatni (például megnyithat a gépen egy számológépet). A LastPass szerint ez a hiba elhárításra került.

Időközben egy blogbejegyzéssel reagált a LastPass a felmerült hibákra. Ebben azt javasolják, hogy mivel a hiba a Firefox 4.1.35a verziója alatt került beazonosításra, így ezt kerüljék a felhasználók és frissítsenek a 4.136a-ra.

Végül a LastPass Firefox kiterjesztése is javítva lett egy frissítéssel, de talán az a legjobb, ha most még egy kicsit szüneteltetjük LastPass témát és letiltjuk a böngészőnkben a kiterjesztést, legalább egy pár napra.

(Forrás: engadget.com Kép forrása: pixabay.com)