LastPass a un tas de problèmes critiques dont au moins l’un permet à des attaquants afin de compromettre le gestionnaire de mot de passe à distance selon Google chercheur Tavis Ormandy.
LastPass est l’un des plus populaires en ligne, des services de gestion de mot de passe sur l’Internet aujourd’hui. Le service propose des extensions pour les différents navigateurs, des applications mobiles et des solutions dédiées pour les différents systèmes d’exploitation et périphériques.
Un rapport complet a été envoyé à LastPass par Tavis Ormandy et il semble que la société travaille sur l’analyse et la fixation de l’questions au moment de l’écriture.
Les questions n’ont pas été divulguée publiquement encore. Alors que c’est la bonne chose à faire jusqu’à ce qu’ils sont fixes, cela signifie que les utilisateurs LastPass ne sais pas vraiment si le problème peut être atténué jusqu’à ce qu’un correctif est fourni.
Mise à jour: LastPass a publié une mise à jour de sécurité pour Firefox add-on. Selon un billet de blog sur le site officiel, un attaquant pourrait attirer un LastPass utilisateur vers un site malveillant d’exécuter LastPass actions dans le fond sans que l’utilisateur de savoir à leur sujet. Cela a été corrigé dans LastPass 4.0 de Firefox.
Plus d’informations sur la question sont disponibles sur le Project Zero forum sur au Chromium.org.
LastPass Distant de Compromettre la vulnérabilité
Les seuls renseignements fournis sont les suivants deux tweets:
Sont des gens vraiment à l’aide de cette lastpass chose? J’ai pris un coup d’oeil rapide et vous pouvez voir un tas d’évidents problèmes critiques. Je vais envoyer un rapport dès que possible.
Rapport complet envoyé à LastPass, ils travaillent sur elle maintenant. Oui, c’est une distance de compromis. Oui, je te promets de regarder 1Password.
Considérant que, il est difficile de savoir si des fonctionnalités telles que l’authentification à deux facteurs ou d’utiliser d’autres add-ons de protéger les utilisateurs et les données contre les attaques. En fait, il n’est même pas clair si LastPass’ réseau et de l’infrastructure, de l’extension de navigateur, les applications mobiles ou d’autres produits sont concernés par cette vulnérabilité.
Il peut très bien être que seule l’extension de navigateur touchés, considérant qu’il est plus probable que Tavis pris un coup d’oeil en raison de sa disponibilité pour le navigateur google Chrome.
Le chercheur en sécurité fixé son regard sur la prochaine gestionnaire de mot de passe, 1Password, qui est la suivante selon un message sur Twitter.
Gestionnaires de mots de passe du magasin de données critiques. Cela les rend l’un des programmes les plus importants pour un utilisateur, et une cible lucrative pour les attaquants.
Les communiqués problème de sécurité n’est pas le premier incident dans LastPass’ histoire. En 2015, LastPass a confirmé qu’il a détecté une activité suspecte sur le réseau de l’entreprise. Récemment, un autre problème a été signalé et corrigé qui a permis à des attaquants d’extraire les mots de passe en utilisant l’extension de la fonctionnalité de saisie automatique.
LastPass est généralement très réactif et rapide quand il s’agit de l’application de correctifs de problèmes de sécurité affectant les produits de la société. Nous mettrons à jour l’article quand de nouvelles informations viennent à la lumière.