LastPass lukker alvorligt hul i browser-udvidelser

Password manager-programmet LastPass har lukket et alvorligt sikkerhedshul i udvidelserne til flere browsere.

Sikkerhedsforsker Tavis Ormandy fra Google opdagede sårbarheden, der ligger i håndteringen af variabler mellem browserudvidelsen og de websteder, den udfylder passwords i.

LastPass anvender såkaldte isolerede verdener til at holde funktioner og variabler i udvidelsen skjult for de websider, den interagerer med. Men i nogle tilfælde kan det lade sig gøre at indsætte data i variabler. Dermed kan en skadelig webside få adgang til udvidelsens private data.

Hvis brugeren anvender den binære version af udvidelsen, kan der også afvikles programkode. Det gælder under ti procent af brugerne.

LastPass skriver, at det var en vanskelig sårbarhed at rette. Firmaet opfordrer andre udviklere af browserudvidelser til at tjekke, at de ikke er ramt af lignende sårbarheder.

Fejlen er rettet i version 4.1.44 til diverse browsere.

Anbefaling

Kontroller, at LastPass-udvidelsen er opdateret til den nyeste version.

Links