LastPass

Sikkerhedsforsker Tavis Ormandy fra Google opdagede sårbarheden, der ligger i håndteringen af variabler mellem browserudvidelsen og de websteder, den udfylder passwords i.

LastPass anvender såkaldte isolerede verdener til at holde funktioner og variabler i udvidelsen skjult for de websider, den interagerer med. Men i nogle tilfælde kan det lade sig gøre at indsætte data i variabler. Dermed kan en skadelig webside få adgang til udvidelsens private data.

I sidste uge lukkede LastPass flere huller, som Tavis Ormandy havde fundet. Nu har han fundet et nyt.

LastPass oplyser, at firmaet er i gang med at fjerne den nyopdagede sårbarhed. Det betegner angrebet som enestående og meget sofistikeret.

Yderligere informationer om sårbarheden kommer først, når den er rettet.

LastPass anbefaler, at man åbner websteder fra LastPass Vault for at undgå at komme ind på falske sider.

Anbefaling

Afvent opdatering fra LastPass.

Sårbarhederne fandtes i browser-udvidelser til tjenesten. De er lukket med de seneste versioner til følgende browsere:

• Firefox: 4.1.36
• Chrome: 4.1.43.82
• Edge: 4.1.30
• Opera: 4.1.28

Også version 3.3.4 til Firefox er rettet. Men da version 3 trækkes tilbage i næste måned, anbefales brugere at opdatere til version 4.

Nogle af versionerne kan være forsinket i udbydernes webbutikker. Hvis det er tilfældet, kan man hente nyeste version direkte hos LastPass.

Sikkerhedsforsker Tavis Ormandy fra Google har fundet tre sikkerhedshuller: Et i udvidelsen til Firefox og to i udvidelsen til Google Chrome.

LastPass oplyser, at hullet i Firefox er lukket, men at den rettede version afventer godkendelse fra Mozilla, som står bag Firefox. Fejlen findes i version 3.3.2, som er på vej til at blive trukket tilbage. Fremover vil kun version 4 blive understøttet.

Ifølge LastPass er det ene hul i Chrome-udgaven også lukket. Flere brugere rapporterer dog, at de fortsat kan aktivere sårbarheden via en testside, Tavis Ormandy har lavet.

Artiklen blev oprindeligt publiceret den 29/7/2016