A LogMeIn, desenvolvedora do gerenciador de senhas LastPass, corrigiru uma vulnerabilidade que permitia que sites roubassem credenciais da última conta na qual o usuário efetuou login usando a extensão para o Chrome ou Opera.
A vulnerabilidade foi descoberta no final do mês de agosto pelo pesquisador do Google Project Zero, Tavis Ormandy, que a relatou ao LastPass. Em uma publicação, Ormandy disse que a falha surgiu a partir da manipulação da forma como o LastPass interage com pop-ups. Entre outras formas o pesquisador mostrou, por exemplo, como o ataque poderia funcionar combinando dois domínios em uma única URL.
Na última sexta-feira (13), o LastPass publicou um post em seu blog dizendo que os bugs foram corrigidos e descreveu o “conjunto limitado de circunstâncias” necessário para que as falhas fossem exploradas.
O bug do LastPass foi corrigido na versão 4.33.0. A atualização da extensão deve ser instalada automaticamente nos computadores dos usuários, mas não é uma má ideia verificar. Embora o LastPass tenha dito que o bug estava limitado aos navegadores Chrome e Opera, a empresa implantou a correção em suas extensões para todos os navegadores como precaução.
Via: Arstechnica