LastPass vá các lỗ hổng rò rỉ mật khẩu nghiêm trọng

Theo một mô tả trong công cụ theo dõi lỗi của Google Project Zero, lỗ hổng này có thể cho phép hacker truy cập vào các lệnh nội bộ bên trong tiện ích mở rộng LastPass. Đó là những lệnh được tiện ích mở rộng sử dụng để sao chép mật khẩu hoặc điền vào biểu mẫu web bằng cách sử dụng thông tin được lưu trữ trong kho an toàn của người dùng.

Lỗ hổng do nhà nghiên cứu Tavis Ormandy của Google phát hiện và báo cáo cho LastPass từ ngày 20/3. Lỗi ảnh hưởng đến các tiện ích mở rộng trình duyệt được người dùng cài đặt cho Google Chrome, Mozilla Firefox và Microsoft Edge.

Các nhà phát triển của trình quản lý mật khẩu phổ biến LastPass vừa nhanh chóng đưa ra bản vá giải quyết một lỗ hổng nghiêm trọng có thể cho phép hacker đánh cắp mật khẩu người dùng hoặc thực thi mã độc hại trên máy tính của họ.

Trước đây các nhà phát triển LastPass đã triển khai một giải pháp tạm thời trên máy chủ của hãng để ngăn chặn việc khai thác và lên kế hoạch vá lỗi trong các phiên bản mới.

lastpass fix bug
lastpass fix bug

Nếu thành phần nhị phân của tiện ích được cài đặt, lệnh “openattach” (mở file đính kèm) có thể được sử dụng để chạy mã tùy ý trên máy tính, Ormandy cho biết trên công cụ theo dõi lỗi.

Ormandy đã báo cáo một lỗ hổng khác trong tiện ích mở rộng của Firefox, theo các nhà phát triển LastPass, có liên quan đến phiên bản đầu tiên. Lỗ hổng đó đã được khắc phục trong phiên bản mới của tiện ích mở rộng của Firefox, 4.1.36a, được phát hành ngày 22/3.

fix bug lastpass password manager
fix bug lastpass password manager

“Chúng tôi không nhận thấy dấu hiệu các lỗ hổng được báo cáo đã bị khai thác trên thực tế; tuy nhiên, chúng tôi vẫn đang tiến hành rà soát kỹ lưỡng trong thời điểm này để khẳng định”, các nhà phát triển LastPass cho biết trong một bài đăng trên blog. “Người dùng cũng không phải thay đổi mật khẩu tại thời điểm này”.

Nguồn: ComputerWorld

 

Leave a Reply

Your email address will not be published. Required fields are marked *