Tavis Ormandy: exploit in Last Pass 4.1.42


Προσοχή αν χρησιμοποιείτε το Last passport: Ο Tavis Ormandy, ένα από τα πιο παραγωγικά μέλη της ομάδας Project Zero of Google, αποκάλυψε ένα νέο θέμα ασφαλείας στο LastPass.

Ο Ormandy ανέφερε ότι υπάρχει ένα exploit αλλά προς το παρόν δεν το έχει δημοσιοποιήσει. Να υπενθυμίσουμε ότι οι ερευνητές του Project Zero of Google, γνωστοποιούν τις ευπάθειες πρώτα στις άμεσα ενδιαφερόμενες εταιρείες που αναπτύσσουν τα προϊόντα που επηρεάζονται. Οι εταιρείες έχουν 90 ημέρες για να ασφαλίσουν το προϊόν τους, συνήθως με την ανάπτυξη μιας νέας έκδοσης, αλλιώς οι ερευνητές δημοσιοποιούν το exploit.Tavis Ormandy: exploit in Last Pass 4.1.42

Οι πληροφορίες είναι πολύ λίγες μέχρι αυτή τη στιγμή, καθώς ο Ormandy τις διέθεσε μέσω του Twitter:

Ωχ, νέο bug στο Last passport που επηρεάζει την έκδοση 4.1.42 (Chrome&FF). RCE αν χρησιμοποιείτε το “Binary Component”, διαφορετικά μπορούν να κλέψουν κωδικούς πρόσβασης. Ετοιμάζω πλήρη αναφορά.

Αναφέρει ότι η τελευταία έκδοση του LastPass for Google Chrome and Firefox (έκδοση 4.1.42), και ότι το exploit μπορεί να χρησιμοποιηθεί για απομακρυσμένη εκτέλεση κώδικα ή την κλοπή των κωδικών πρόσβασης.

Αργότερα αποκάλυψε ότι διαθέτει μια πλήρες λειτουργικό exploit που δεν εμφανίζει μηνύματα στα Windows, και είναι μόλις δύο γραμμές κώδικα. Επίσης, σημείωσε ότι το exploit θα μπορούσε να λειτουργήσει και σε άλλες πλατφόρμες.

Η LastPass δημοσίευσε επίσης ένα μήνυμα στο Twitter αναφέροντας ότι είναι ενήμερη για το θέμα, και ότι εργάζεται για να βρει μια λύση.

Shortly after, the company published a second message stating that the issue was resolved.

Το θέμα που αναφέρθηκε από τον Tavis Ormandy έχει επιλυθεί. Θα δοθούν συμπληρωματικές διευκρινίσεις στο blog μας σύντομα.

In accordance with tweet, αν χρησιμοποιείτε την εφαρμογή Last passport, δεν χρειάζεται να κάνετε κάτι πέρα από το να περιμένετε την ανακοίνωση της λύσης που διορθώνει την ευπάθεια από την εταιρεία.


Read them Technology News from all over the world, with the validity of iGuRu.gr

Follow us on Google News iGuRu.gr at Google news