De siste dagene har Tavis Ormandy fra Googles sikkerhetsteam Project Zero avdekket flere kritiske sårbarheter i LastPass.
Enkel scriptkode på en nettside du besøker kan fiske ut lagrede brukernavn og passord. Som om det ikke var ille nok kan samme feil misbrukes til å kjøre binærkode på offerets datamaskin.
Ulike versjoner av passordprogrammets nettleserutvidelser til Chrome og Firefox er berørt. LastPass opplyser at de jobber med å fikse problemene.
Oops, new LastPass bug that affects 4.1.42 (Chrome&FF). RCE if you use the "Binary Component", otherwise can steal pwds. Full report on way. pic.twitter.com/y92vm3Ibxd
— Tavis Ormandy (@taviso) 20. mars 2017
It looks like LastPass consider the RCE vulnerability I reported yesterday resolved, here are the full details. https://t.co/roB0JXa25G
— Tavis Ormandy (@taviso) 21. mars 2017
I found another bug in LastPass 4.1.35 (unpatched), allows stealing passwords for any domain. Full report will be on the way shortly. pic.twitter.com/9VkV7R3vud
— Tavis Ormandy (@taviso) 21. mars 2017
Ormandy har også gjort seg bemerket ved å oppdage en lang rekke sårbarheter i programvare. I tillegg til de nye sårbarhetene påpeker han at forrige kritiske feil i LastPass som han fant ennå ikke skal være fjernet.
Sårbarheter i en rekke populære passordverktøy, som tilbyr å holde rede på dine brukernavn og passord, har dukket opp gjentatte ganger. En fersk undersøkelse bare understreket at sikkerheten er ofte langt under pari.
We are aware of the report by @taviso and our team has put a workaround in place while we work on a resolution. Stay tuned for updates.
— LastPass (@LastPass) 21. mars 2017