LastPass'ın Chrome ve Firefox tarayıcıları ile çalışan eklentisinin, hackerların önünü açan ve kişisel bilgilerimizin kolayca ele geçirilmesini sağlayan bir “bug”a maruz kaldığı bildirildi.
Her iki hata da Google'ın Project Zero için çalışan bir güvenlik araştırmacısı olan Travis Ormandy tarafından keşfedildi. Ormandy'nin keşfettiği buglar arasından LastPass mühendisleri, şimdilik sadece Chrome sürümü için bir yama yayınladı. Firefox sürümünü etkileyen sorun ise araştırılıyor.
LastPass Chrome uzantısını etkileyen güvenlik açığı, kullanıcının tarayıcıları ve şirketin kullanıcı şifrelerini depoladığı bulut hizmeti arasında duran bir aracı JS komut dosyasından kaynaklanıyor. Ormandy, "Hata nedeniyle LastPass 4.1.42'ye güvenilmeyen mesajlar tanımlamak ve web sitelerinin ayrıcalıklı RPC'lere (Uzaktan Yordam Çağrıları) erişmek mümkün." ifadelerini kullanıyor. Ormandy buna ek olarak "LastPass uzantısı üstünde tam kontrolü sağlayan, şifreleri çalmak da dahil olmak üzere pek çok işlem yapabilen RPC'ler var. İkili bileşen mimarisi kurulu ise, bu bile rastgele kod çalıştırılmasına izin verir.” açıklamasında bulunuyor.
.
LastPass kullanıcıları vektörlere yönelik saldırılara maruz kalır; zira saldırganlar gerekli kodu bir web sitesinde düzenli bir JS komut dosyası olarak barındırabilirler. LastPass yöneticileri, Ormandy'nin Chrome eklentisinde bildirdiği sorunu giderdiklerini ve sonraki günlerde daha fazla ayrıntı içeren bir açıklamada bulunacaklarını duyurdu.
LastPass Firefox kısmı ise daha vahim durumda. Bug, Firefox eklenti sürümü 3.3.2'yi etkiliyor. LastPass, Ormandy'ye 3.3.2 sürümünün en popüler versiyon olduğunu belirtti. Ormandy, bu açığın nasıl işlediği konusunda bilgi vermedi. Sadece, saldırganların kullanıcıları kötü amaçlı bir web sitesine çeken web tabanlı bir sızıntısı kullanarak, LastPass şifre tabanından kullanıcı kimlik bilgilerini çalabileceğini belirtti. Araştırmacı konunun çözülmediğini doğruladı. LastPass, bu güvenlik açığını giderdikten sonra ayrıntılı bir rapor yayınlanacak.
