Προσοχή αν χρησιμοποιείτε το Last Pass: Ο Tavis Ormandy, ένα από τα πιο παραγωγικά μέλη της ομάδας Project Zero της Google, αποκάλυψε ένα νέο θέμα ασφαλείας στο LastPass.
Ο Ormandy ανέφερε ότι υπάρχει ένα exploit αλλά προς το παρόν δεν το έχει δημοσιοποιήσει. Να υπενθυμίσουμε ότι οι ερευνητές του Project Zero της Google, γνωστοποιούν τις ευπάθειες πρώτα στις άμεσα ενδιαφερόμενες εταιρείες που αναπτύσσουν τα προϊόντα που επηρεάζονται. Οι εταιρείες έχουν 90 ημέρες για να ασφαλίσουν το προϊόν τους, συνήθως με την ανάπτυξη μιας νέας έκδοσης, αλλιώς οι ερευνητές δημοσιοποιούν το exploit.
Οι πληροφορίες είναι πολύ λίγες μέχρι αυτή τη στιγμή, καθώς ο Ormandy τις διέθεσε μέσω του Twitter:
Ωχ, νέο bug στο Last Pass που επηρεάζει την έκδοση 4.1.42 (Chrome&FF). RCE αν χρησιμοποιείτε το “Binary Component”, διαφορετικά μπορούν να κλέψουν κωδικούς πρόσβασης. Ετοιμάζω πλήρη αναφορά.
Oops, new LastPass bug that affects 4.1.42 (Chrome&FF). RCE if you use the "Binary Component", otherwise can steal pwds. Full report on way. pic.twitter.com/y92vm3Ibxd
— Tavis Ormandy (@taviso) March 20, 2017
Αναφέρει ότι η τελευταία έκδοση του LastPass για το Google Chrome και τον Firefox (έκδοση 4.1.42), και ότι το exploit μπορεί να χρησιμοποιηθεί για απομακρυσμένη εκτέλεση κώδικα ή την κλοπή των κωδικών πρόσβασης.
Αργότερα αποκάλυψε ότι διαθέτει μια πλήρες λειτουργικό exploit που δεν εμφανίζει μηνύματα στα Windows, και είναι μόλις δύο γραμμές κώδικα. Επίσης, σημείωσε ότι το exploit θα μπορούσε να λειτουργήσει και σε άλλες πλατφόρμες.
Wrote a quick exploit for another LastPass vulnerability. Only affects version on https://t.co/lGcefN9YXM (3.3.2), report on way. ¯_(ツ)_/¯ pic.twitter.com/AgjASiQMfJ
— Tavis Ormandy (@taviso) March 16, 2017
Η LastPass δημοσίευσε επίσης ένα μήνυμα στο Twitter αναφέροντας ότι είναι ενήμερη για το θέμα, και ότι εργάζεται για να βρει μια λύση.
We are aware of the report by @taviso and our team has put a workaround in place while we work on a resolution. Stay tuned for updates.
— LastPass (@LastPass) March 21, 2017
Λίγο αργότερα η εταιρεία δημοσίευσε ένα δεύτερο μήνυμα που ανέφερε ότι το ζήτημα επιλύθηκε.
Το θέμα που αναφέρθηκε από τον Tavis Ormandy έχει επιλυθεί. Θα δοθούν συμπληρωματικές διευκρινίσεις στο blog μας σύντομα.
Σύμφωνα με το tweet, αν χρησιμοποιείτε την εφαρμογή Last Pass, δεν χρειάζεται να κάνετε κάτι πέρα από το να περιμένετε την ανακοίνωση της λύσης που διορθώνει την ευπάθεια από την εταιρεία.