Descubren bug en LastPass que permite robar contraseñas

No es la primera vez que Travis Ormandy descubre fallos en productos de software importantes, como el antivirus Comodo y LastPass. Hablamos de un ingeniero de seguridad informática en Google que forma parte del equipo de analistas de seguridad, Project Zero.

En esta ocasión, Ormandy descubrió un bug en la extensión de LastPass para Chrome y Firefox, específicamente en la versión 4.1.42. Este fallo permitía la ejecución de código remoto y el robo de contraseñas mediante un exploit funcional en Windows que creó con apenas dos líneas de código JavaScript.

Oops, new LastPass bug that affects 4.1.42 (Chrome&FF). RCE if you use the "Binary Component", otherwise can steal pwds. Full report on way. pic.twitter.com/y92vm3Ibxd

— Tavis Ormandy (@taviso) 20 de marzo de 2017

Según Ormandy, quien no reveló detalles del exploit públicamente, podría funcionar en otras plataformas sin mayor problema. Todos los detalles fueron enviados a la gente de LastPass para su análisis y pronta respuesta. Usualmente, las compañías tienen 90 días para solucionar los problemas.

We are aware of the report by @taviso and our team has put a workaround in place while we work on a resolution. Stay tuned for updates.

— LastPass (@LastPass) 21 de marzo de 2017

Por su parte parte, LastPass informó a través de cuenta de Twitter tener conocimiento del reporte de Ormandy, sobre el cual estarían trabajando para una solución. Posteriormente, la compañía dio a conocer que el problema había sido resuelto y que pronto proporcionaría más información al respecto.

The issue reported by Tavis Ormandy has been resolved. We will provide additional details on our blog soon.

— LastPass (@LastPass) 21 de marzo de 2017

Es posible que la solución ya esté disponible en forma de actualización para la extensión de LastPass, tanto en Chrome como en Firefox. Sin embargo, no se ha especificado cuál es la versión que pone fin a este problema de seguridad.

Sígannos y comenten en Facebook.

Leave a Reply

Your email address will not be published. Required fields are marked *