パスワード管理アプリ「LastPass」のブラウザ拡張機能にパスワード漏洩の可能性がある脆弱性が発見され、LastPassがアップデートを公開。

　パスワード管理アプリ＆サービス「LastPass」のブラウザ拡張機能にパスワード漏洩の可能性がある脆弱性が発見され、LastPassはこれを修正したと発表しています。詳細は以下から。

　LastPassはアメリカのATG Inc.が提供するクラウド型パスワードマネージャサービス&アプリで、1PasswordやDashlaneと同じような機能を提供していますが、このLastPassのChrome, Firefox, Edge, Opera用ブラウザ拡張機能に悪意のあるユーザーのWebサーバーにアクセスすることでパスワードが漏洩する危険のあるRCE脆弱性をGoogleのProject ZeroチームのTavis Ormandyさんが発見したそうです。

Firefox 3.3.2 message-hijacking bug
What was reported:Based on our URL parsing process in Firefox 3.3.2, malicious websites could spoof legitimate websites and fool the LastPass add-on into providing user site credentials.

Website connector bug
What was reported:An issue with the architecture for a consumer onboarding feature affected clients on which that code appeared (Chrome, Firefox, Edge). A malicious website could trick LastPass by masking as a trusted party and steal site credentials. Users running the LastPass binary component (less than 10% of LastPass userbase) were further susceptible to remote exploit when lured to a malicious website.

Important Security Updates for Our Users – The LastPass Blog

　LastPassはこの脆弱性を24時間以内に修正し既にアップデートを提供していますが、McAfee(Intel Security)は過去にもKeeperやDashlane, 1Password[1, 2]などパスワード管理アプリとブラウザ拡張間にパスワードの漏洩の可能性がある脆弱性が度々発見されているとして、ブラウザ拡張を利用しないように勧めています。

Tavis Ormandy yesterday demonstrated a remote code execution on the latest LastPass version. This isn’t the first extremely severe bug he’s found in LastPass, either; there’ve been so many extremely severe bugs in LastPass it would be tedious to list them out. But LastPass isn’t alone: Keeper, Dashlane and even 1Password have had severe vulnerabilities that allowed attackers to steal all of the passwords in a user’s account without their knowledge.

Stop using password manager browser extensions – McAfee Blogs

• Important Security Updates for Our Users – The LastPass Blog
• Stop using password manager browser extensions – McAfee Blogs