LastPass vá các lỗ hổng rò rỉ mật khẩu nghiêm trọng

30/07/2014
79
711 bài viết
LastPass vá các lỗ hổng rò rỉ mật khẩu nghiêm trọng
Các nhà phát triển của trình quản lý mật khẩu phổ biến LastPass vừa nhanh chóng đưa ra bản vá giải quyết một lỗ hổng nghiêm trọng có thể cho phép hacker đánh cắp mật khẩu người dùng hoặc thực thi mã độc hại trên máy tính của họ.

technology-1283624-100696511-large.jpg

Lỗ hổng do nhà nghiên cứu Tavis Ormandy của Google phát hiện và báo cáo cho LastPass từ ngày 20/3. Lỗi ảnh hưởng đến các tiện ích mở rộng trình duyệt được người dùng cài đặt cho Google Chrome, Mozilla Firefox và Microsoft Edge.


Theo một mô tả trong công cụ theo dõi lỗi của Google Project Zero, lỗ hổng này có thể cho phép hacker truy cập vào các lệnh nội bộ bên trong tiện ích mở rộng LastPass. Đó là những lệnh được tiện ích mở rộng sử dụng để sao chép mật khẩu hoặc điền vào biểu mẫu web bằng cách sử dụng thông tin được lưu trữ trong kho an toàn của người dùng.


Nếu thành phần nhị phân của tiện ích được cài đặt, lệnh "openattach" (mở file đính kèm) có thể được sử dụng để chạy mã tùy ý trên máy tính, Ormandy cho biết trên công cụ theo dõi lỗi.


Các nhà phát triển LastPass đã triển khai một giải pháp tạm thời trên máy chủ của hãng để ngăn chặn việc khai thác và lên kế hoạch vá lỗi trong các phiên bản mới.


Ormandy đã báo cáo một lỗ hổng khác trong tiện ích mở rộng của Firefox, theo các nhà phát triển LastPass, có liên quan đến phiên bản đầu tiên. Lỗ hổng đó đã được khắc phục trong phiên bản mới của tiện ích mở rộng của Firefox, 4.1.36a, được phát hành ngày 22/3.


"Chúng tôi không nhận thấy dấu hiệu các lỗ hổng được báo cáo đã bị khai thác trên thực tế; tuy nhiên, chúng tôi vẫn đang tiến hành rà soát kỹ lưỡng trong thời điểm này để khẳng định", các nhà phát triển LastPass cho biết trong một bài đăng trên blog. "Người dùng cũng không phải thay đổi mật khẩu tại thời điểm này".


Nguồn: ComputerWorld
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bên trên