Tavis Ormandy: exploit στο Last Pass 4.1.42


Προσοχή αν χρησιμοποιείτε το Last Pass: Ο Tavis Ormandy, ένα από τα πιο παραγωγικά μέλη της ομάδας Project Zero της Google, αποκάλυψε ένα νέο θέμα ασφαλείας στο LastPass.

Ο Ormandy ανέφερε ότι υπάρχει ένα exploit αλλά προς το παρόν δεν το έχει δημοσιοποιήσει. Να υπενθυμίσουμε ότι οι ερευνητές του Project Zero της Google, γνωστοποιούν τις ευπάθειες πρώτα στις άμεσα ενδιαφερόμενες εταιρείες που αναπτύσσουν τα προϊόντα που επηρεάζονται. Οι εταιρείες έχουν 90 ημέρες για να ασφαλίσουν το προϊόν τους, συνήθως με την ανάπτυξη μιας νέας έκδοσης, αλλιώς οι ερευνητές δημοσιοποιούν το exploit.Tavis Ormandy: exploit στο Last Pass 4.1.42

Οι πληροφορίες είναι πολύ λίγες μέχρι αυτή τη στιγμή, καθώς ο Ormandy τις διέθεσε μέσω του Twitter:

Ωχ, νέο bug στο Last Pass που επηρεάζει την έκδοση 4.1.42 (Chrome&FF). RCE αν χρησιμοποιείτε το “Binary Component”, διαφορετικά μπορούν να κλέψουν κωδικούς πρόσβασης. Ετοιμάζω πλήρη αναφορά.

Αναφέρει ότι η τελευταία έκδοση του LastPass για το Google Chrome και τον Firefox (έκδοση 4.1.42), και ότι το exploit μπορεί να χρησιμοποιηθεί για απομακρυσμένη εκτέλεση κώδικα ή την κλοπή των κωδικών πρόσβασης.

Αργότερα αποκάλυψε ότι διαθέτει μια πλήρες λειτουργικό exploit που δεν εμφανίζει μηνύματα στα Windows, και είναι μόλις δύο γραμμές κώδικα. Επίσης, σημείωσε ότι το exploit θα μπορούσε να λειτουργήσει και σε άλλες πλατφόρμες.

Η LastPass δημοσίευσε επίσης ένα μήνυμα στο Twitter αναφέροντας ότι είναι ενήμερη για το θέμα, και ότι εργάζεται για να βρει μια λύση.

Λίγο αργότερα η εταιρεία δημοσίευσε ένα δεύτερο μήνυμα που ανέφερε ότι το ζήτημα επιλύθηκε.

Το θέμα που αναφέρθηκε από τον Tavis Ormandy έχει επιλυθεί. Θα δοθούν συμπληρωματικές διευκρινίσεις στο blog μας σύντομα.

Σύμφωνα με το tweet, αν χρησιμοποιείτε την εφαρμογή Last Pass, δεν χρειάζεται να κάνετε κάτι πέρα από το να περιμένετε την ανακοίνωση της λύσης που διορθώνει την ευπάθεια από την εταιρεία.

Εγγραφή στο iGuRu.gr μέσω Email

Εισάγετε το email σας για εγγραφή στην υπηρεσία αποστολής ειδοποιήσεων μέσω email για νέες δημοσιεύσεις.


Διαβάστε τις Τεχνολογικές Ειδήσεις από όλο τον κόσμο, με την εγκυρότητα του iGuRu.gr

Ακολουθήσετε μας στο Google News iGuRu.gr at Google news