AUTHOR : Uber
PUBLISHED : 2019-09-17 09:41

Kritisk LastPass fejl opdaget: Opdater nu


Hvis du bruger LastPass password manager, skal du sørge for, at dine LastPass browserudvidelser er opdateret til version 4.33.0 eller 4.33.4. Et program, der blev frigivet sidste torsdag (12. september), løser en alvorlig sikkerhedsfejl, der potentielt åbner for ondsindede websteder stjæler dine adgangskoder. (LastPass Android og iOS apps påvirkes ikke.)

YvdQw5DH6i2ygpHdxQtynm-650-80


Problemet er spottet af Google Project Zero-forsker Tavis Ormandy, som fandt ud af, at hvis et websted er konstrueret på en bestemt måde, kan det generere et LastPass-pop-up-vindue, der automatisk udfylder det cache gemte brugernavn og adgangskode til et andet websted, der tidligere blev vist i den samme browserfane.

Så websted Y kunne stjæle dit brugernavn og adgangskode til websted X, så længe du gik fra X til Y i den samme browserfane og derefter klikkede for at logge ind.

Vi springer over de tekniske detaljer, men det er vigtigt at notere sig, at pop op-vinduet LastPass kan udløses ved blot at have et websted vist i en browser som integreret på et andet websted. (Det er ikke ualmindeligt at integrere andre websteder - Google Translate gør det hele tiden, som Ormandy påpegede i sin rapport)

Hvis det integrerede websted indeholder et login-vindue, vises pop-up-vinduet LastPass muligvis - der viser legitimationsoplysningerne for et websted, der tidligere er besøgt i den samme browserfane.

"I think it's fair to call this 'High' severity, even if it won't work for *all* URLs" fortæller Ormandy.

Sårbarheden er ikke blevet brugt i nogen aktive angreb endnu, men nu, hvor problemet synliggøres, må vi forvente, at nogen vil prøve det af i praksis.

Ormandy rapporterede fejlen til LastPass den 29. august, og LastPass havde rettelsen klar to uger senere.

På den officielle LastPass-blog fortæller virksomheden "while any potential exposure due to the bug was limited to specific browsers (Chrome and Opera), as a precaution, we've deployed the update to all browsers"

Opera bruger den samme Chromium kodebase som Chrome, og flere andre browsere, inklusiv Brave og Vivaldi. En opdatering af udvidelserne til Edge, Firefox, Internet Explorer og Safari er imidlertid en god idé, især da Ormandys fejlrapport indebærer, at Firefox og Microsoft browsere også påvirkes.

På trods af denne sårbarhed er det stadig en god idé at benytte sig af en password manager, da det i mange tilfælde vil begrænse skaden på din online sikkerhed og privatliv, når et websted, som du har registreret, bliver hacket.

Tjek derfor om din LastPass revision er 4.33.0 eller 4.33.4. Normalt opdaterer LastPass selv.


Kilde & Image credit:

LastPass


VORES PARTNERE

Synology
Olympus
Razer
MSI
Cooler Master
Cougar Gaming
Corsair
AMD
ASRock
Deepcool
Seasonic
Gigabyte