El equipo de seguridad de Project Zero de Google encontró un error de LastPass que expuso las credenciales de usuario en un sitio web que visitaron anteriormente. Lastpass versión 4.33.0 corrigió el error el 12 de septiembre y los detalles ahora son públicos.
LastPass 4.33.0
Tavis Ormandy de Project Zero escribió un informe de error:
Me di cuenta de que puede crear una ventana emergente sin llamar a do_popupregister () iframing popupfilltab.html (es decir, a través de moz-extension, ms-browser-extension, chrome-extension, etc.). Es un recurso_accessible_web válido.
Debido a que nunca se llama a do_popupregister (), ftd_get_frameparenturl () solo usa el último valor almacenado en caché en g_popup_url_by_tabid para la pestaña actual. Eso significa que a través de algunos clickjacking, puede filtrar las credenciales del sitio anterior que inició sesión para la pestaña actual.
Esto significa que si tiene la extensión del navegador LastPass, un atacante podría enviarle una URL maliciosa disfrazada con Google Translate. Si un usuario visitó la URL, el atacante podría extraer las credenciales de su cuenta de un sitio web visitado anteriormente en el que inició sesión.
Project Zero encontró el error y lo informó en privado a LastPass. Hasta ahora no hay evidencia de que este error haya sido explotado en la naturaleza. En cualquier caso, LastPass 4.33.0 solucionó el problema. Esto no significa necesariamente que deba abandonar LastPass o los administradores de contraseñas en general. Pero si está preocupado, tal vez podría explorar las sales de contraseñas a continuación.
Otras lecturas:
[Try Salting Passwords if You Don’t Trust Password Managers]
[Someone Tell These Companies That Getting Hacked Isn’t a Race]
