Tre falle di sicurezza per il gestore di password LastPass

Tre falle di sicurezza per il gestore di password LastPass

Il rischio è la sottrazione di password e l'esecuzione di codice arbitrario. Mancano informazioni dettagliate sui problemi e ancora non sono disponibili aggiornamenti al momento in cui scriviamo: il consiglio è di disabilitare l'estensione

di pubblicata il , alle 16:15 nel canale Sicurezza
 

Tavis Ormandy, ricercatore di sicurezza per Google Project Zero, ha identificato una serie di vulnerabilità per il gestore di password LastPass, estensione largamente utilizzata, che interessa in particolare i browser Firefox e Chrome.

La prima vulnerabilità, già individuata la scorsa settimana, non è ancora stata risolta poiché probabilmente Mozilla sta ancora revisionando l'aggiornamento dell'estensione prima di renderla disponibile agli utenti. Secondo quanto diramato tramite Twitter, la vulnerabilità potrebbe consentire di rivelare le password dell'utente ma - a fronte dell'assenza della patch correttiva - poche sono le informazioni tecniche a riguardo.

Il secondo problema è ancor più grave poiché oltre alla possibilità, anche in questo caso, di sottrarre le password dell'utente, permette di esegure codice arbitrario deciso dall'attaccante se la versione binaria dell'estensione è installata. Secondo LastPass questo problema è stato risolto, ed è in previsione la pubblicazione di un post sul blog ufficiale che possa meglio dettagliare la situazione. Ancor meno dettagli sono disponibili su una terza vulnerabilità scoperta, che interessa la versione 4.1.35 di LastPass.

Il ritmo di scoperta di queste falle e la mancanza di informazioni da LastPass è sicuramente preoccupante. Attualmente, in mancanza di aggiornamenti puntuali da parte di LastPass, è consigliabile disabilitare temporaneamente l'estensione fallata. Restiamo in attesa di ulteriori aggiornamenti.

6 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Sandro kensan22 Marzo 2017, 16:24 #1
Io usu Sync di Firefox che cripta e manda sul cloud di Moz://a le password con crittografia open source ed end to end. Lastpass è open source?
Erotavlas_turbo22 Marzo 2017, 17:56 #2
Originariamente inviato da: Sandro kensan
Io usu Sync di Firefox che cripta e manda sul cloud di Moz://a le password con crittografia open source ed end to end. Lastpass è open source?


No lastpass è closed source.
Sandro kensan22 Marzo 2017, 19:11 #3
Lastpass è un derivato di Xmarks che un tempo usavo ma che ho abbandonato appena è stato attivato Sync di Firefox. Mi pare di capire che funzionano allo stesso modo, in effetti Sync riprendeva il funzionamento di Xmarks.
matrix8322 Marzo 2017, 19:15 #4
Originariamente inviato da: Sandro kensan
Lastpass è un derivato di Xmarks che un tempo usavo ma che ho abbandonato appena è stato attivato Sync di Firefox. Mi pare di capire che funzionano allo stesso modo, in effetti Sync riprendeva il funzionamento di Xmarks.

Non mi risulta. Lastpass è un gestore di password generale, non solo web o di bookmarks, con applicazione desktop. L'estensione browser è un surplus.
Tra l'altro avevo consigliato di abbandonarla ormai mesi fa in favore di Safeincloud e tutti mi davano contro
RedSnap22 Marzo 2017, 19:28 #5
Io sto usando Enpass e mi sto trovando molto bene!
mandrena23 Marzo 2017, 23:00 #6
Ma i problemi riguardano solo le estensioni dei browser o anche il sito? Solo versioni desktop o anche per le versioni degli smartphone? Grazie

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^