Tre falle di sicurezza per il gestore di password LastPass
Il rischio è la sottrazione di password e l'esecuzione di codice arbitrario. Mancano informazioni dettagliate sui problemi e ancora non sono disponibili aggiornamenti al momento in cui scriviamo: il consiglio è di disabilitare l'estensione
di Andrea Bai pubblicata il 22 Marzo 2017, alle 16:15 nel canale SicurezzaTavis Ormandy, ricercatore di sicurezza per Google Project Zero, ha identificato una serie di vulnerabilità per il gestore di password LastPass, estensione largamente utilizzata, che interessa in particolare i browser Firefox e Chrome.
La prima vulnerabilità, già individuata la scorsa settimana, non è ancora stata risolta poiché probabilmente Mozilla sta ancora revisionando l'aggiornamento dell'estensione prima di renderla disponibile agli utenti. Secondo quanto diramato tramite Twitter, la vulnerabilità potrebbe consentire di rivelare le password dell'utente ma - a fronte dell'assenza della patch correttiva - poche sono le informazioni tecniche a riguardo.
Il secondo problema è ancor più grave poiché oltre alla possibilità, anche in questo caso, di sottrarre le password dell'utente, permette di esegure codice arbitrario deciso dall'attaccante se la versione binaria dell'estensione è installata. Secondo LastPass questo problema è stato risolto, ed è in previsione la pubblicazione di un post sul blog ufficiale che possa meglio dettagliare la situazione. Ancor meno dettagli sono disponibili su una terza vulnerabilità scoperta, che interessa la versione 4.1.35 di LastPass.
Il ritmo di scoperta di queste falle e la mancanza di informazioni da LastPass è sicuramente preoccupante. Attualmente, in mancanza di aggiornamenti puntuali da parte di LastPass, è consigliabile disabilitare temporaneamente l'estensione fallata. Restiamo in attesa di ulteriori aggiornamenti.
6 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoNo lastpass è closed source.
Non mi risulta. Lastpass è un gestore di password generale, non solo web o di bookmarks, con applicazione desktop. L'estensione browser è un surplus.
Tra l'altro avevo consigliato di abbandonarla ormai mesi fa in favore di Safeincloud e tutti mi davano contro
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".