Tavis Ormandy odhlalil RCE v oblíbeném správci hesel LastPass 4.1.42 (Chrome&FF)

LastPass je oblíbený správce přihlašovacích jmen a hesel. Kromě přehledného a bezpečného uložení hesel program umožňuje samozřejmě automatické předvyplnění internetových formulářů, usnadňuje přihlašování uživatelů a také bezpečné ukládání poznámek.



Zdarma podporuje Linux, Windows, macOS, Android, iOS, Windows Phone a experimentálně několik dalších systémů. Samostatný klient pro Linux sice k dispozici není, ale správce lze pohodlně používat prostřednictvím rozšíření pro webový prohlížeč (Chrome, Firefox, Opera, Safari, Internet Explorer nebo Edge).

LastPass patří momentálně k nejoblíbenějším správcům hesel. Dokonce má aktivní bug bounty program, kde vyplácí až 60 tisíc Kč za bezpečnostní chybu. Na jejich zdi slávy najdete také našeho bezpečnostního experta pod přezdívkou "vavkamil".

Na různé správce hesel se mimo jiné zaměřuje jeden z nejlepších světových bezpečnostních expertů Tavis Ormandy, který momentálně pracuje pro security tým Project Zero společnosti Google. Tavis se v poslední době proslavil hlavně nalezením kritických bezpečnostních chyb v produktech Microsoftu, několika antivirových programech, CDN službě CloudFlare a právě také ve správci hesel LastPass.

Vše začalo oznámením na twitteru 16. března. Podle dostupných informací se jednalo o bypass regexu pro validaci domény, chyba byla ve starší verzi doplňku pro FireFox.
Tavis Ormandy našel podobné zranitelnosti ve starších verzích LastPass již dříve. Pro uživatele je však hlavní, že ve svém výzkumu pokračoval a 21. března oznámil na twitteru další, nyní již značně kritickou chybu:
V tomto případě se jedná o RCE (vzdálené spuštění kódu) v doplňku pro prohlížeče Chrome a Mozilla Firefox. Jedná se o poměrně aktuální verzi, kterou stále používá spousta uživatelů, ale pro úspěšnost exploitu musí uživatel povolit v nastavení možnost "Binary Component", která je defaultně vypnutá.

Lastpass promptně reagoval a sdělil uživatelům, že bezpečnostní chybu dočasně znemožnil a vývojáři začali pracovat na opravě.
Chyba byla zcela opravena za méně než 24 hodin. Celý report s ukázkou k dispozici zde.
Dnes byl ještě zvěřejněn předchozí report z minulého týdne a jeden další, který navazoval na původní zranitelnost ze včerejška. Vše opraveno během 24 hodin, nezbývá než poděkovat oběma stranám za skvělou spolupráci.
Tavis Ormandy odhlalil RCE v oblíbeném správci hesel LastPass 4.1.42 (Chrome&FF) Tavis Ormandy odhlalil RCE v oblíbeném správci hesel LastPass 4.1.42 (Chrome&FF) Reviewed by Kamil Vavra on března 22, 2017 Rating: 5

Žádné komentáře:

Používá technologii služby Blogger.