LastPass memperbaiki bug yang membuka kata sandi
Ekstensi peramban untuk alat manajemen kata sandi LastPass menderita kerentanan yang berarti kata sandi pengguna dapat bocor, seorang peneliti Google Project Zero melaporkan.
Mempengaruhi ekstensi Chrome dan Opera, kerentanan berarti bahwa situs web jahat dapat menipu LastPass agar mengekspos nama pengguna dan kata sandi. LastPass menjelaskan bahwa masalahnya berasal dari "rangkaian keadaan terbatas" yang memungkinkan untuk clickjacking. Berita baiknya adalah bahwa celah keamanan telah diperbaiki.
Lihat juga:
Berita yang lebih baik adalah bahwa tidak ada yang perlu dilakukan pengguna untuk melindungi diri mereka sendiri. LastPass telah mendorong pembaruan ke ekstensi yang akan diinstal secara otomatis – jadi, dengan asumsi Anda terhubung ke internet, semuanya akan diurus untuk Anda.
Dalam sebuah posting di situs LastPass, perusahaan menjelaskan:
Tim kami baru-baru ini menyelidiki dan menyelesaikan bug yang memengaruhi ekstensi LastPass tertentu. Tavis Ormandy, seorang peneliti keamanan dari Project Zero Google, secara bertanggung jawab mengungkapkan masalah ini kepada kami. Laporannya mengungkapkan serangkaian keadaan terbatas pada ekstensi browser tertentu yang berpotensi memungkinkan penyerang untuk membuat skenario clickjacking.
Untuk mengeksploitasi bug ini, serangkaian tindakan perlu diambil oleh pengguna LastPass termasuk mengisi kata sandi dengan ikon LastPass, kemudian mengunjungi situs yang disusupi atau jahat dan akhirnya diperdaya untuk mengklik halaman tersebut beberapa kali. Eksploitasi ini dapat mengakibatkan kredensial situs terakhir diisi oleh LastPass untuk diekspos. Kami dengan cepat bekerja untuk mengembangkan perbaikan dan memverifikasi bahwa solusinya komprehensif dengan Tavis.
Kami sekarang telah menyelesaikan bug ini; tidak diperlukan tindakan pengguna dan ekstensi browser LastPass Anda akan diperbarui secara otomatis.
Selain itu, sementara potensi paparan apa pun karena bug terbatas pada browser tertentu (Chrome dan Opera), sebagai tindakan pencegahan, kami telah menyebarkan pembaruan ke semua browser.
Di bawah kode pengungkapan yang bertanggung jawab, rincian cacat hanya diumumkan pada hari Minggu. Temuan peneliti Tavis Ormandy terungkap di situs Project Zero.
Dia menjelaskan:
Saya perhatikan bahwa Anda dapat membuat popup tanpa memanggil do_popupregister () dengan iframing popupfilltab.html (mis. Melalui moz-extension, ms-browser-extension, chrome-extension, dll). Ini adalah web_accessible_resource yang valid.
Karena do_popupregister () tidak pernah dipanggil, ftd_get_frameparenturl () hanya menggunakan nilai cache terakhir di g_popup_url_by_tabid untuk tab saat ini. Itu berarti melalui beberapa clickjacking, Anda dapat membocorkan kredensial untuk situs sebelumnya yang masuk untuk tab saat ini.
Kerentanan berarti bahwa situs jahat yang dikodekan secara khusus mungkin dapat mengakses kredensial yang digunakan di situs yang sebelumnya diakses.
Pastikan Anda diperbarui ke LastPass 4.33.0 atau lebih baru, dan Anda akan aman.
