LastPass vá các lỗ hổng rò rỉ mật khẩu nghiêm trọng

16:14 | 31/03/2017

Các nhà phát triển của trình quản lý mật khẩu phổ biến LastPass (công ty phát triển phần mềm bảo mật ở Hoa Kỳ) vừa đưa ra bản vá giải quyết một lỗ hổng nghiêm trọng có thể cho phép tin tặc đánh cắp mật khẩu người dùng hoặc thực thi mã độc hại trên máy tính của họ.



Lỗ hổng do nhà nghiên cứu Tavis Ormandy của Google phát hiện và báo cáo cho LastPass từ ngày 20/3/2017. Lỗ hổng ảnh hưởng đến các tiện ích mở rộng trình duyệt được người dùng cài đặt cho Google Chrome, Mozilla Firefox và Microsoft Edge.

Theo một mô tả trong công cụ theo dõi lỗ hổng của Google Project Zero, lỗ hổng này có thể cho phép tin tặc truy cập vào các lệnh nội bộ bên trong tiện ích mở rộng LastPass. Đó là những lệnh được tiện ích mở rộng sử dụng để sao chép mật khẩu hoặc điền vào biểu mẫu web bằng cách sử dụng thông tin được lưu trữ trong kho an toàn của người dùng.

Nếu thành phần nhị phân của tiện ích được cài đặt, lệnh "openattach" (mở tệp tin đính kèm) có thể được sử dụng để chạy mã tùy ý trên máy tính, Ormandy cho biết trên công cụ theo dõi lỗ hổng.

Các nhà phát triển LastPass đã triển khai một giải pháp tạm thời trên máy chủ của hãng để ngăn chặn việc khai thác và lên kế hoạch vá lỗ hổng trong các phiên bản mới.

Ormandy đã báo cáo một lỗ hổng khác trong tiện ích mở rộng của Firefox, theo các nhà phát triển LastPass, có liên quan đến phiên bản đầu tiên. Lỗ hổng đó đã được khắc phục trong phiên bản mới của tiện ích mở rộng của Firefox, 4.1.36a, được phát hành ngày 22/3/2017.

Các nhà phát triển LastPass cho biết, họ không nhận thấy dấu hiệu các lỗ hổng được báo cáo đã bị khai thác trên thực tế; tuy nhiên, LastPass vẫn đang tiến hành rà soát kỹ lưỡng trong thời điểm này.