LASTPASS

Alvorlige sårbarheter fjernet fra populært passordprogram

To alvorlige sårbarheter har blitt fjernet fra LastPass, men brukerne bør forsikre seg om at de benytter en oppdatert utgave av passordprogrammet.
To alvorlige sårbarheter har blitt fjernet fra LastPass, men brukerne bør forsikre seg om at de benytter en oppdatert utgave av passordprogrammet. Bilde: LastPass
Harald BrombachHarald BrombachNyhetsleder
28. juli 2016 - 08:52

Passordadministratorer er verktøy som kan gjøre det enklere for brukerne å ha forskjellige passord på alle de ulike tjenester en benytter, ved at verktøyet på en sikker måte tar vare på og oppgir passordet til den enkelte tjeneste.

Men også slike verktøy kan ha betydelige svakheter. 

Lekket passord

Denne uken har det blitt kjent to sårbarheter i LastPass, som er blant de aller mest populære passordadministratorene. Vi vil med en gang understreke at begge sårbarheter har blitt fjernet, den ene så sent som i går. Det er derfor viktig at brukerne forsikrer seg om at de benytter siste versjon av LastPass.

Den ene sårbarheten som har fått mye oppmerksomhet i IT-pressen denne uken, gjorde det mulig for ondsinnede å avsløre en LastPass-brukers passord til vilkårlige nettsteder når brukeren besøker en spesielt utformet webside som de ondsinnede kontrollerer.

Ifølge Mathias Karlsson, sikkerhetsforskeren som oppdaget sårbarheten, var LastPass-teamet svært raske med å rette sårbarheten. Det ble gjort på under en dag. I tillegg ble Karlsson gitt en dusør på tusen dollar. 

Ifølge LastPass ble denne sårbarheten fjernet fra LastPass-produktet for mer enn et år siden, men Karlsson har vært villig til å holde tilbake omtalen av den fram til nå for å sikre at sikkerhetsfiksen har blitt rullet ut til alle. 

Også en helt fersk sikkerhetsfiks

En sårbarhet i LastPass som ikke har fått like mye oppmerksomhet, ble oppdaget denne uken av Tavis Ormandy, som er tilknyttet Googles Project Zero-team. Omtrent samtidig publiserte han dette forvarslet på Twitter.

 

Også denne sårbarheten har blitt svært raskt fjernet fra LastPass av LastPass-teamet. Sårbarheten gjør det mulig for ondsinnede websider å få LastPass til å utføre ulike handlinger i bakgrunnen, uten at brukeren oppdager dette. 

– Dette kan narre LastPass til å prosessere en openURL-kommando. Dette gir tilgang til enhver av de privilegerte LastPass RPC-ene (Remote Procedure Call, journ. anm.), slik at dette er en komplett kompromittering av LastPass-utvidelsen. Herfra kan en angriper opprette og slette filer, kjøre skript, stjele alle passord, logge ofrene inn på deres egen LastPass-konto, slik at de kan stjele alt nytt som er lagret der, etc., etc., skriver Ormandy. 

LastPass-teamet har i stor grad bekreftet dette, men konkluderte med at sårbarheten kun gjelder LastPass-utvidelsen for Firefox, og bare 4.0-utgaven. Utgaven som tilbys via Add-Ons-siden til Mozilla, er en eldre versjon. Trolig er det mange som bruker denne.

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
En tjeneste fra