LastPass' Firefox Vulnerability
Table des matières:
L’un des gestionnaires de mots de passe les plus populaires, LastPass, est confronté à de graves problèmes d’extension de navigateur, car plusieurs vulnérabilités ont été révélées avec le service au cours de la semaine écoulée et elles persistent toujours.
La technologie évolue sans cesse et, même si elle est censée améliorer notre mode de vie, elle peut parfois être dommageable au cas où certains bugs seraient exploités, en particulier lorsqu'un service tel que LastPass, chargé de protéger des dizaines de millions de mots de passe, est concerné.
La semaine dernière, le 20 mars, Tavis Ormandy, chercheur chez Project Zero chez Google, a découvert deux bogues dans les extensions de navigateur de LastPass qui rendaient les utilisateurs vulnérables à l'exécution de code à distance.Les vulnérabilités révélées ont affecté à la fois les utilisateurs professionnels et privés du service.
Les vulnérabilités révélées au cours de la semaine écoulée?
20 mars: Tavis Ormandy détecte deux vulnérabilités RCE (Remote Code Execution) affectant les extensions de navigateur de LastPass, permettant potentiellement à un attaquant de voler des mots de passe.
Oups, le nouveau bogue LastPass qui affecte 4.1.42 (Chrome & FF). RCE si vous utilisez le "composant binaire", sinon peut voler des pwds. Rapport complet en route. pic.twitter.com/y92vm3Ibxd
- Tavis Ormandy (@taviso) 20 mars 2017
21 mars: LastPass prend note du rapport d’Ormandy et confirme que les vulnérabilités existent et que leur équipe s’attachera à les résoudre.
Nous sommes au courant du rapport de @taviso et notre équipe a mis en place une solution de contournement pendant que nous travaillons sur une résolution. Restez à l'écoute pour les mises à jour.
- LastPass (@LastPass) 21 mars 2017
22 mars: la société annonce la publication de nouvelles versions des extensions de navigateur Chrome (v 4.1.43) et Firefox (v 4.1.36) avec les mises à jour de sécurité en place.
Ils ont également mentionné qu'aucune donnée n'avait été compromise entre cette période et que les utilisateurs n'avaient pas à s'inquiéter de la modification de leurs informations d'identification. Les versions mises à jour des extensions de navigateur Microsoft Edge et Opera seront publiées dans l'attente de l'approbation de la société.
25 mars: Tavis Ormandy découvre une autre vulnérabilité de la version mise à jour de l'extension de navigateur Google Chrome (v 4.1.43). LastPass reconnaît la vulnérabilité dans une mise à jour de leur annonce du 22 mars.
Ah-ha, j'ai eu une épiphanie sous la douche ce matin et j'ai compris comment obtenir codeexec dans LastPass 4.1.43. Rapport complet et exploit sur le chemin. pic.twitter.com/vQn20D9VCy
- Tavis Ormandy (@taviso) 25 mars 2017
27 mars: LastPass a publié une déclaration: «Nous ne traitons pas activement la vulnérabilité. Cette attaque est unique et hautement sophistiquée. Nous ne souhaitons rien révéler de spécifique à propos de la vulnérabilité ou de notre solution qui pourrait révéler quoi que ce soit à des parties moins sophistiquées mais néfastes."
Comment rester en sécurité?
Actuellement, LastPass a confirmé qu'il travaillait à résoudre les problèmes de sécurité avec son service et qu'un correctif complet pourrait être attendu sous peu. En attendant, il est recommandé aux utilisateurs de LastPass de respecter les précautions suivantes.
- Pour protéger leurs identifiants de connexion, il est recommandé aux utilisateurs de désactiver les extensions de navigateur en attendant et de lancer les sites Web directement à partir de LastPass Vault jusqu'à ce que les vulnérabilités soient résolues par la société.
- Activez l'authentification à deux facteurs pour tous les comptes offrant cette option, ce qui renforcera la sécurité de votre compte au cas où la vulnérabilité serait exploitée par un attaquant.
- Surveillez les attaques de phishing. Ne cliquez pas sur des liens provenant de sources non fiables - des personnes que vous ne connaissez pas.
Microsoft a publié un avis de sécurité relatif à une vulnérabilité Zero-Report dans Windows 7. Voici comment protéger vos systèmes en attendant un autre correctif.
Microsoft a reconnu la vulnérabilité zéro-jour de Windows 7 signalée la semaine dernière avec un avis de sécurité. L'avis de Microsoft fournit des détails supplémentaires sur l'étendue et la nature de la menace, ainsi que certaines mesures que vous pouvez prendre immédiatement pour protéger les systèmes vulnérables.
Une vulnérabilité pourrait permettre à un site Web malveillant de capturer l'historique Web d'une personne Mozilla a publié Firefox version 16 au public, le navigateur a dû être retiré du Web pour des raisons de sécurité.
"Mozilla est conscient d'une faille de sécurité dans la version actuelle de Firefox", Michael Coates, directeur de l'assurance sécurité chez Mozilla , expliqué dans un blog. "Nous travaillons activement sur un correctif et nous prévoyons d'expédier les mises à jour [jeudi] Firefox n'est pas affecté."
La police de Mumbai a arrêté samedi un chercheur en sécurité qui a enquêté sur des problèmes de sécurité dans des machines à voter électroniques. chercheur en sécurité qui a enquêté sur les machines à voter électroniques (EVM) utilisées lors des élections indiennes a été arrêté par la police à Mumbai samedi. Hari Prasad et d'autres chercheurs ont publié une vidéo plus tôt cette année montrant comment, après avoir bricolé avec l'électronique interne d'un EVM, ils pourraient effectuer des attaques
En avril, Prasad a déclaré à IDG News Service que son groupe de chercheurs avait accès à une EVM opérationnelle. lors d'une élection par le biais d'une source anonyme.