Senhas - Gerenciador de senhas LastPass sofre com segunda falha em duas semanas
Descoberta por engenheiro do Google, vulnerabilidade já está sendo corrigida pela empresa de segurança.
Pela segunda vez em duas semanas, os desenvolvedores do conhecido
gerenciador de senhas LastPass estão trabalhando em uma vulnerabilidade
séria que poderia permitir que sites maliciosos roubem senhas ou
infectem computadores com o malware.Assim como as falhas do LastPass corrigidas na semana passada, o novo problema foi descoberto e revelado pelo pesquisador da equipe Project Zero, do Google. O pesquisador revelou a existência da vulnerabilidade em uma mensagem no Twitter, mas não publicou nenhum detalhe técnico sobre o caso que pudesse permitir que hackers explorassem a falha.
Segundo Ormandy, a falha afeta a versão mais recente da extensão de navegador da LastPass para todos os principais browsers do mercado. O especialista alega que testou o exploit com sucesso em máquinas Windows e Linux, mas acredita que também funcione em Macs.
Se o componente binário da extensão também estiver instalado, a vulnerabilidade permite que os criminosos executem códigos maliciosos nos computadores dos usuários quando visitam um site enganoso. Caso o componente não estiver presente, a falha ainda pode ser usada para extrair senhas a partir dos cofres protegidos de senhas dos usuários.
Para piorar as coisas, parece que a presença da extensão no navegador é o bastante para falha poder ser explorada. Ormandy afirmou no Twitter que o ataque ainda funciona mesmo se o usuário não estiver logado.
Isso só seria verdadeiro para o ataque com a execução remota de código, uma vez que sem uma sessão logada o cofre das senhas continuaria criptografia e não acessível para um site.
“Estamos agora corrigindo ativamente a vulnerabilidade”, afirmaram os desenvolvedores do LastPass nesta segunda-feira, 27/3.
“Esse ataque é único e altamente sofisticado. Não queremos revelar nada específico sobre a vulnerabilidade ou sobre a nossa correção que possa revelar qualquer coisa para partes menos sofisticadas, mas maliciosas.”
A LastPass recomenda que os usuários abram os sites para os quais armazenaram senhas diretamente a partir dos cofres de senhas usando o recurso “launch”. A empresa também aconselha os usuários a habilitarem a autenticação de dois fatores para todos os serviços on-line que ofereçam a opção.