LastPass correcciones de errores que podrían permitir que sitios web maliciosos extracto de su último contraseña utilizada

LastPass ha parcheado un error que habría permitido a un sitio web malicioso para extraer una contraseña anterior ingresados por el servicio de la extensión del navegador. ZDNet informa que el error fue descubierto por Tavis Ormandy, un investigador de Google Project Zero equipo, y fue revelada en un informe de fallo de fecha 29 de agosto. LastPass se ha solucionado el problema el 13 de septiembre, y se implementa la actualización a todos los navegadores donde debe ser aplicado de forma automática, algo LastPass los usuarios sería inteligente para verificar.

El bug funciona engañando a los usuarios a un sitio web malicioso, y engañando a la extensión de navegador para el uso de una contraseña de una página web visitada previamente. Ormandy, señala que los atacantes pueden utilizar un servicio como Google Translate para disimular una URL maliciosa y engañar a los usuarios vulnerables a visitar un pícaro sitio.

Aunque LastPass dice que la actualización debe aplicarse automáticamente, usted definitivamente debe comprobar que se está ejecutando la más actualizada versión del servicio de la extensión del navegador, especialmente si usted está utilizando un navegador que le permite desactivar las actualizaciones automáticas para las extensiones. El error fue parcheado con la versión 4.33.0 de la extensión. LastPass dijo que creía que sólo el Chrome y Opera navegadores fueron afectados por el error, pero que se desplegó el mismo parche para todos los navegadores como medida de precaución.

En un comunicado publicado en su blog, LastPass restó importancia a la gravedad del error. La Seguridad de la empresa el Gerente de Ingeniería, Ferenc Kun, dijo que el ataque se basó en un usuario que visita un sitio malicioso y, a continuación, ser engañado y hacer clic en la página «varias veces.» Ormandy, sin embargo, le dio el error de «Alta» clasificación de gravedad. El error fue responsable revelada a LastPass antes de ser hecho público, y no hay evidencia de que un exploit nunca fue implementado en la web.

A pesar de este error, el uso de una contraseña de administrador es todavía en gran medida a tomar por el bien de su seguridad en línea. La existencia del bug destaca el hecho de que los administradores de contraseñas, como cualquier servicio en línea, todavía pueden ser susceptibles a problemas de seguridad. Como resultado de ello, es una buena idea añadir autenticación de dos factores para cualquiera de los sitios de apoyo, junto con el uso de potentes contraseñas únicas que nunca reutilice entre los servicios.

Deja un comentario

A %d blogueros les gusta esto: