QR code per la pagina originale

LastPass, vulnerabilità nelle estensioni

Il ricercatore di Google Tavis Ormandy ha scoperto tre vulnerabilità nelle estensioni di LastPass per browser, una delle quali deve essere ancora risolta.

,

LastPass è uno dei password manager più utilizzati dagli utenti, ma un ricercatore di sicurezza ha scoperto che le estensioni per browser non solo molto affidabili. In meno di una settimana, infatti, Tavis Ormandy di Google Project Zero ha trovato tre gravi vulnerabilità, l’ultima delle quali non ancora risolta. La software house ha promesso la distribuzione di un aggiornamento in tempi brevi.

Le prime due vulnerabilità sono state svelate da Ormandy il 20 marzo e corrette circa due giorni dopo. Un malintenzionato poteva convincere l’utente a visitare un sito infetto, dal quale effettuare una chiamata alle API di LastPass. Grazie all’esecuzione di codice remoto era possibile accedere alle credenziali di login. Questi bug erano presenti nelle estensioni per Firefox, Chrome, Opera e Edge. Per quanto riguarda il browser di Mozilla, la software house ha consigliato di abbandonare le versioni 3.x e installare le versioni 4.x, le uniche supportate a partite dal 31 marzo.

Nel fine settimana, Ormandy ha segnalato l’esistenza di un’altra vulnerabilità, questa volta solo in LastPass 4.1.43 per Chrome.

L’azienda statunitense non ha fornito dettagli sul nuovo bug client-side, ma ha promesso il rilascio di una patch nel più breve tempo possibile. In ogni caso, il tipo di attacco è molto sofisticato, per cui il rischio per gli utenti è piuttosto basso. In attesa dell’aggiornamento è consigliabile lanciare i siti direttamente dal LastPass Vault e attivare l’autenticazione in due fattori per tutti i servizi che offrono la funzionalità. Evitare infine di cliccare su link provenienti da persone sconosciute.

Fonte: LastPass • Notizie su: