LastPass, risolto bug di sicurezza rilevato ad agosto.

LastPass Logo Color

LastPass ha corretto un bug che avrebbe consentito a un sito Web dannoso di estrarre una password precedente immessa dall’estensione del browser del servizio. ZDNet riferisce che il bug è stato scoperto da Tavis Ormandy, un ricercatore del team Project Zero di Google, ed è stato divulgato in una segnalazione di bug datata 29 agosto . LastPass ha risolto il problema il 13 settembre e ha distribuito l’aggiornamento a tutti i browser in cui dovrebbe essere applicato automaticamente, cosa che gli utenti di LastPass farebbero bene a verificare.

Il bug funziona attirando gli utenti su un sito Web dannoso e ingannando l’estensione del browser per utilizzare una password da un sito Web precedentemente visitato. Ormandy osserva che dei male intenzionati potrebbero utilizzare un servizio come Google Translate per mascherare un URL dannoso e indurre gli utenti vulnerabili a visitare un sito non autorizzato. Sebbene LastPass sostenga che l’aggiornamento dovrebbe essere applicato automaticamente, è necessario verificare che si stia eseguendo la versione più aggiornata dell’estensione del browser del servizio, in particolare se si utilizza un browser che consenta di disabilitare gli aggiornamenti automatici per le estensioni . Il bug è stato corretto con la versione 4.33.0 dell’estensione. LastPass ha dichiarato di ritenere che il bug riguardasse solo i browser Chrome e Opera, ma che per precauzione ha distribuito la stessa patch a tutti i browser.

In una dichiarazione pubblicata sul suo blog , LastPass ha minimizzato la gravità del bug. Il responsabile della sicurezza della società, Ferenc Kun, ha affermato che l’exploit si basava su un utente che visitava un sito dannoso e quindi veniva indotto a fare clic sulla pagina “più volte”, Ormandy ha comunque attribuito al bug un punteggio di gravità “elevato”.

Nonostante questo bug, l’utilizzo di un gestore di password è ancora un’ottima misura da adottare per motivi di sicurezza online. L’esistenza del bug evidenzia il fatto che i gestori di password, come qualsiasi servizio online, possono ancora essere sensibili a problemi di sicurezza. Di conseguenza, è una buona idea aggiungere l’autenticazione a due fattori a tutti i siti che la supportano, oltre a utilizzare password univoche efficaci che non si riutilizzano mai tra i servizi.

CONDIVIDI QUESTO ARTICOLO