LastPass, vulnerabilità nelle estensioni

LastPass è uno dei password manager più utilizzati dagli utenti, ma un ricercatore di sicurezza ha scoperto che le estensioni per browser non solo molto affidabili. In meno di una settimana, infatti, Tavis Ormandy di Google Project Zero ha trovato tre gravi vulnerabilità, l’ultima delle quali non ancora risolta. La software house ha promesso la distribuzione di un aggiornamento in tempi brevi.

Le prime due vulnerabilità sono state svelate da Ormandy il 20 marzo e corrette circa due giorni dopo. Un malintenzionato poteva convincere l’utente a visitare un sito infetto, dal quale effettuare una chiamata alle API di LastPass. Grazie all’esecuzione di codice remoto era possibile accedere alle credenziali di login. Questi bug erano presenti nelle estensioni per Firefox, Chrome, Opera e Edge. Per quanto riguarda il browser di Mozilla, la software house ha consigliato di abbandonare le versioni 3.x e installare le versioni 4.x, le uniche supportate a partite dal 31 marzo.

Nel fine settimana, Ormandy ha segnalato l’esistenza di un’altra vulnerabilità, questa volta solo in LastPass 4.1.43 per Chrome.

Ah-ha, I had an epiphany in the shower this morning and realized how to get codeexec in LastPass 4.1.43. Full report and exploit on the way. pic.twitter.com/vQn20D9VCy

— Tavis Ormandy (@taviso) March 25, 2017

L’azienda statunitense non ha fornito dettagli sul nuovo bug client-side, ma ha promesso il rilascio di una patch nel più breve tempo possibile. In ogni caso, il tipo di attacco è molto sofisticato, per cui il rischio per gli utenti è piuttosto basso. In attesa dell’aggiornamento è consigliabile lanciare i siti direttamente dal LastPass Vault e attivare l’autenticazione in due fattori per tutti i servizi che offrono la funzionalità. Evitare infine di cliccare su link provenienti da persone sconosciute.