Af Torben B. Sørensen, 22/03/17
Sikkerhedsforsker Tavis Ormandy fra Google har fundet tre sikkerhedshuller: Et i udvidelsen til Firefox og to i udvidelsen til Google Chrome.
LastPass oplyser, at hullet i Firefox er lukket, men at den rettede version afventer godkendelse fra Mozilla, som står bag Firefox. Fejlen findes i version 3.3.2, som er på vej til at blive trukket tilbage. Fremover vil kun version 4 blive understøttet.
Ifølge LastPass er det ene hul i Chrome-udgaven også lukket. Flere brugere rapporterer dog, at de fortsat kan aktivere sårbarheden via en testside, Tavis Ormandy har lavet.
LastPass har endnu ikke reageret på det andet sikkerhedshul, Tavis Ormandy oplyser, at han har fundet.
Anbefaling
Slå udvidelserne fra, indtil det er sikkert, at hullerne er lukket.
Links
- LastPass: websiteConnector.js content script allows proxying internal RPC commands
- The issue reported by Tavis Ormandy has been resolved, LastPass på Twitter
- The test page is still vulnerable, bruger på Hacker News
- What should password managers not do? Leak your passwords? What a great idea, LastPass, artikel fra The Register