Szerző: Hlács Ferenc

2019. szeptember 17. 09:45

Jelszólopást is engedő bugot foltozott a LastPass

Az Opera és Chrome kiegészítőkben lévő hiba a legutóbb használt jelszavakat sodorta veszélybe. A hibát a Google Project Zero szakértője jelezte a cég felé.

Súlyos, akár jelszólopást is lehetővé tevő biztonsági hibát javított a Lastpass fejlesztőcsapata, a népszerű jelszókezelő Chrome és Opera böngészőkhöz szánt kiegészítőiben. A hibát augusztusban a Google Project Zero biztonsági szakértője Tavis Ormandy fedezte fel, majd jelezte azt a vállalat felé.

Mint a kutató kiderítette, a kiegészítőknél a felugró ablakok létrehozásához hagyományosan használt do_popupregister() nevű függvény helyett lehetőség van egy iframe-ben a popupfilltab.html megnyitására is. Miután a fenti függvényt az oldal nem hívja meg, ezért a felugró ablak tartalmáért felelős ftd_get_frameparenturl() névre keresztelt függvény az utolsó cach-elt értéket használja,  ami pedig a legutóbb használt bejelentkezési adatokat is tartalmazhatja. Ez a sebezhetőség a clickjacking támadásokra tette különösen érzékennyé a jelszókezelőt, hiszen egy jól álcázott, ártatlannak tűnő hivatkozással potenciális támadók aránylag könnyen rávehették (volna) a felhasználókat, hogy legutóbbi bejelentkezéseik információit kiszivárogtassák.

lastpill

A jelzett sebezhetőséget a LastPass csapata tehát javította - az Ormandy által felfedezett további bugokkal együtt. Ugyanis ahogy az Ars Technica is kiemeli, a szakértő további gyenge pontokat is talált az említett kiegészítőkön, még ha nem is a fentihez hasonlóan súlyos sebezhetőségekről van szó. A kutató szerint a handle_hotkey() függvény megfelelő ellenőrzésének hiányában például a weboldalak tetszőleges billentyűkombináció-eseményeket generálhattak, két további bug pedig több biztonsági ellenőrzés megkerülését is lehetővé tette.

Mindent vivő munkahelyek

Mindig voltak olyan informatikai munkahelyek, melyek nagyon jól fekszenek az önéletrajzban.

Mindent vivő munkahelyek Mindig voltak olyan informatikai munkahelyek, melyek nagyon jól fekszenek az önéletrajzban.

A LastPass az ügy kapcsán közzétett blogposztjában siet hangsúlyozni, hogy a Project Zero kutatója által felfedezett sérülékenység csak bizonyos esetekben használható ki, és hogy a rosszindulatú oldalaknak számos kattintásra rá kell venniük a felhasználót, mielőtt potenciálisan hozzáférhetnének adataihoz. A poszt szerint a jelszókezelő csapata a bejelentést követően gyorsan javította a sérülékenységet, a frissítést pedig biztos ami biztos a Chrome és Opera mellett minden további támogatott böngészőhöz kiadta. A felhasználóknak tehát semmilyen teendőjük nincs az ügy kapcsán.

A cég mindenesetre igyekszik még egyszer emlékeztetni mindenkit az online biztonsággal kapcsolatos bevált gyakorlatokra, mint a többlépcsős azonosítás bekapcsolása mind a LastPass, mind pedig az összes többi online szolgáltatás esetében. A vállalat arra is figyelmeztet, hogy minden online fiókhoz alkalmazzanak különböző jelszót a felhasználók - LastPass jelszavukra pedig különösen figyeljenek oda, hogy azt máshol semmi esetre se használják.

a címlapról