パスワード管理アプリ「LastPass」のブラウザ拡張機能にパスワード漏洩の可能性がある脆弱性が発見され、LastPassがアップデートを公開。

スポンサーリンク

 パスワード管理アプリ&サービス「LastPass」のブラウザ拡張機能にパスワード漏洩の可能性がある脆弱性が発見され、LastPassはこれを修正したと発表しています。詳細は以下から。


 LastPassはアメリカのATG Inc.が提供するクラウド型パスワードマネージャサービス&アプリで、1PasswordやDashlaneと同じような機能を提供していますが、このLastPassのChrome, Firefox, Edge, Opera用ブラウザ拡張機能に悪意のあるユーザーのWebサーバーにアクセスすることでパスワードが漏洩する危険のあるRCE脆弱性をGoogleのProject ZeroチームのTavis Ormandyさんが発見したそうです。

Firefox 3.3.2 message-hijacking bug
What was reported:Based on our URL parsing process in Firefox 3.3.2, malicious websites could spoof legitimate websites and fool the LastPass add-on into providing user site credentials.

Website connector bug
What was reported:An issue with the architecture for a consumer onboarding feature affected clients on which that code appeared (Chrome, Firefox, Edge). A malicious website could trick LastPass by masking as a trusted party and steal site credentials. Users running the LastPass binary component (less than 10% of LastPass userbase) were further susceptible to remote exploit when lured to a malicious website.

Important Security Updates for Our Users – The LastPass Blog

 LastPassはこの脆弱性を24時間以内に修正し既にアップデートを提供していますが、McAfee(Intel Security)は過去にもKeeperDashlane, 1Password[1, 2]などパスワード管理アプリとブラウザ拡張間にパスワードの漏洩の可能性がある脆弱性が度々発見されているとして、ブラウザ拡張を利用しないように勧めています。

Tavis Ormandy yesterday demonstrated a remote code execution on the latest LastPass version. This isn’t the first extremely severe bug he’s found in LastPass, either; there’ve been so many extremely severe bugs in LastPass it would be tedious to list them out. But LastPass isn’t alone: Keeper, Dashlane and even 1Password have had severe vulnerabilities that allowed attackers to steal all of the passwords in a user’s account without their knowledge.

Stop using password manager browser extensions – McAfee Blogs

コメント

  1. 匿名 より:

    こええええええええ!

  2. 匿名 より:

    1Passwordが月額制になるというからこちらも候補に考えてたけど、これじゃぁなぁ…

  3. 匿名 より:

    即座に修正したみたいだし大丈夫でしょ?

  4. 匿名 より:

    LastPassは以前も同じような事をやらかしたよなぁ・・・