Vulnerabilidade que expôs senhas nas extensões do LastPass é corrigida

Um pesquisador Google Project Zero havia encontrado e relatado as falhas no gerenciador de senhas
Redação17/09/2019 11h34, atualizada em 17/09/2019 12h47

20190917083748

Compartilhe esta matéria

Ícone Whatsapp Ícone Whatsapp Ícone X (Tweeter) Ícone Facebook Ícone Linkedin Ícone Telegram Ícone Email

A LogMeIn, desenvolvedora do gerenciador de senhas LastPass, corrigiru uma vulnerabilidade que permitia que sites roubassem credenciais da última conta na qual o usuário efetuou login usando a extensão para o Chrome ou Opera.

A vulnerabilidade foi descoberta no final do mês de agosto pelo pesquisador do Google Project Zero, Tavis Ormandy, que a relatou ao LastPass. Em uma publicação, Ormandy disse que a falha surgiu a partir da manipulação da forma como o LastPass interage com pop-ups. Entre outras formas o pesquisador mostrou, por exemplo, como o ataque poderia funcionar combinando dois domínios em uma única URL.

Na última sexta-feira (13), o LastPass publicou um post em seu blog dizendo que os bugs foram corrigidos e descreveu o “conjunto limitado de circunstâncias” necessário para que as falhas fossem exploradas.

O bug do LastPass foi corrigido na versão 4.33.0. A atualização da extensão deve ser instalada automaticamente nos computadores dos usuários, mas não é uma má ideia verificar. Embora o LastPass tenha dito que o bug estava limitado aos navegadores Chrome e Opera, a empresa implantou a correção em suas extensões para todos os navegadores como precaução.

Via: Arstechnica

Colaboração para o Olhar Digital

Redação é colaboração para o olhar digital no Olhar Digital