Tavis Ormandy: Jeg stod i badet og kom på endnu en kritisk sårbarhed i Lastpass

Kodeordshuskeren LastPass er ved at lukke et alvorligt sikkerhedshul, som Tavis Ormandy fra Googles Project Zero endnu en gang har fundet frem til.

Sikkerhedsforsker Tavis Ormandy fra Googles Project Zero har fundet frem til en kritisk sårbarhed på klienter med kodeordshuskeren LastPass. Det fortæller The Register.

Hvis det lyder som noget, du har læst før her på Version2, så er det måske, fordi samme sikkerhedsforsker stod bag opdagelsen af tre kritiske sårbarheder i LastPass-udvidelsen i henholdsvis Chrome og Firefox, som blev patched i sidste uge. Sårbarhederne kunne blandt andet bruges til at opsnappe kodeord.

Hvad den seneste sårbarhed angår, så er det småt med detaljerne. Ormandy fortæller på Twitter, hvordan han stod i badet, da han fik en åbenbaring i forhold til sårbarheden, der gør det muligt at eksekvere kode på klienter med LastPass-browserudvidelsen version 4.1.43.


I et opfølgende tweet, fortæller Ormandy, hvordan han verificerede sårbarheden og sendte en rapport om den til LastPass - før han fik bukser på.

Det er småt med detaljerne, i Ormandys tweets, hvilket nok er godt nok, da den seneste LastPass-udvidelse - i hvert fald i Chromium på et Ubuntu-system til Chromium - stadig lader til at være den sårbare version 4.1.43, som Ormandy omtaler.

Sikkerhedsforskeren nævner i et svar til et af sine tweets, at han kun har testet sårbarheden i forhold til Windows og Linux, og han vurderer i den forbindelse, at også MacOS vil være sårbart.

De tre tidligere sårbarheder vedrørte henholdsvis Chrome og Firefox. Det fremgår ikke umiddelbart i forbindelse med Ormandys tweets, om den seneste seneste sårbarhed relaterer sig til en specifik browser eller til LastPass-browserudvidelsen generelt. På det screenshot, Ormandy har lagt op, ser sårbarheden her ud til at køre i forhold til Googles Chrome.

LastPass skriver i en besked fra i går på virksomhedens hjemmeside, at Tavis Ormandy hen over weekenden rapporterede en ny sårbarhed på klient-siden i forhold til LastPass-browser-udvidelsen.

»Vi er nu ved aktivt at adressere sårbarheden. Angrebet er unikt og særdeles sofistikeret. Vi ønsker ikke at offentliggøre noget specifikt om sårbarheden eller vores fix, som kan afsløre noget over for mindre sofistikerede, men ondsindede parter,« oplyser LastPass i beskeden.

Virksomheden forventer at offentliggøre en mere detaljeret beskrivelse ved en senere lejlighed.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize