Global Preloader
Vulnerabilidad
(29/Mar/2017) Investigador de Google encuentra nuevo defecto en LastPass

Investigador de Google encuentra nuevo defecto en LastPass

Dado que la vulnerabilidad no se ha solucionado, sólo unos pocos detalles han sido hechos públicos por Ormandy y LastPass. El investigador dijo que el agujero de seguridad afecta a la última versión de la aplicación, y la hazaña que desarrolló debería funcionar en todos los navegadores web.

Similar a una debilidad previamente encontrada, esta vulnerabilidad puede explotarse para robar las contraseñas de un usuario y, si el componente binario LastPass está habilitado, ejecute código arbitrario.

"Este ataque es único y altamente sofisticado", dijo LastPass en un blog. "No queremos revelar nada específico sobre la vulnerabilidad o nuestro arreglo que pueda revelar nada a partidos menos sofisticados pero nefastos. Así que puedes esperar un post mortem más detallado una vez que este trabajo esté completo. "

Debido a que estas vulnerabilidades pueden explotarse usualmente al conseguir que el usuario objetivo acceda a una página web especialmente diseñada, LastPass ha aconsejado a los clientes que se protejan contra posibles ataques utilizando el LastPass Vault para acceder a sitios web para garantizar que el sitio que visitan es legítimo. Los usuarios también han sido aconsejados para habilitar la autenticación de dos factores cuando sea posible y tener cuidado con los intentos de phishing.

En las últimas semanas, Ormandy ha identificado varias vulnerabilidades graves de LastPass que pueden explotarse para robar contraseñas de usuario o ejecutar código arbitrario. LastPass ha publicado parches dentro de días después de conocer su existencia. Las correcciones se eliminan automáticamente y los usuarios no tienen que tomar ninguna acción.

No hay evidencia de explotación en estado salvaje y LastPass dijo a los usuarios que no hay necesidad de cambiar ninguna contraseña.

Una de las vulnerabilidades encontradas por el investigador de Google afectó la versión 3.3.2 de la extensión de Firefox. LastPass abordó la vulnerabilidad, pero la compañía señaló que planea retirar esta sucursal en un futuro próximo.