عانى امتداد المتصفح لأداة إدارة كلمة المرور LastPass من مشكلة عدم حصانة مما يعني أنه يمكن تسرب كلمات مرور المستخدمين ، حسبما أفاد باحث في Google Project Zero.
تؤثر على امتدادات Chrome و Opera ، تعني الثغرة الأمنية أن مواقع الويب الضارة يمكن أن تخدع LastPass في كشف أسماء المستخدمين وكلمات المرور. يشرح LastPass أن المشكلة نابعة من "مجموعة محدودة من الظروف" التي سمحت بالنقر. والخبر السار هو أن الخلل الأمني قد تم تصحيحه.
أنظر أيضا:
والخبر الأفضل هو أنه لا يوجد شيء يحتاج المستخدمون القيام به لحماية أنفسهم. قام LastPass بدفع التحديث إلى الامتداد الذي سيتم تثبيته تلقائيًا – لذلك ، على افتراض أنك متصل بالإنترنت ، فسيتم العناية بكافة الأشياء.
في منشور على موقع LastPass ، تشرح الشركة:
قام فريقنا مؤخرًا بالتحقيق في خلل يؤثر على بعض ملحقات LastPass وحلها. كشف Tavis Ormandy ، الباحث الأمني في Google Project Project Zero ، عن المشكلة بطريقة مسؤولة. كشف تقريره عن مجموعة محدودة من الظروف على ملحقات متصفح معينة قد تسمح للمهاجمين بإنشاء سيناريو النقر.
لاستغلال هذا الخطأ ، يلزم اتخاذ سلسلة من الإجراءات من قِبل مستخدم LastPass بما في ذلك ملء كلمة مرور بأيقونة LastPass ، ثم زيارة موقع مخترق أو ضار ، وفي النهاية يتم خداعهم بالنقر فوق الصفحة عدة مرات. قد ينتج عن هذا الاستغلال آخر بيانات اعتماد للموقع تملأها LastPass ليتم عرضها. لقد عملنا بسرعة لتطوير إصلاح وتحقق من أن الحل كان شاملاً مع Tavis.
لقد حللنا الآن هذا الخطأ ؛ لا يلزم إجراء من جانب المستخدم وسيتم تحديث امتداد متصفح LastPass تلقائيًا.
بالإضافة إلى ذلك ، على الرغم من أن التعرض المحتمل بسبب الخطأ كان مقصورًا على متصفحات معينة (Chrome و Opera) ، كإجراء وقائي ، فقد قمنا بنشر التحديث على جميع المتصفحات.
بموجب قانون الإفصاح المسؤول ، تم نشر تفاصيل العيب فقط يوم الأحد. تم الكشف عن نتائج الباحث Tavis Ormandy على موقع Project Zero.
هو يوضح:
لقد لاحظت أنه يمكنك إنشاء نافذة منبثقة دون الاتصال بـ do_popupregister () عن طريق iframing popupfilltab.html (أي عبر ملحق moz أو ms-browser-extension أو chrome-extension ، إلخ). إنها web_accessible_resource صالحة.
نظرًا لعدم استدعاء do_popupregister () أبدًا ، يستخدم ftd_get_frameparenturl () فقط القيمة المخزنة مؤقتًا الأخيرة في g_popup_url_by_tabid لعلامة التبويب الحالية. هذا يعني أنه من خلال بعض عمليات النقر ، يمكنك تسريب بيانات اعتماد الموقع السابق الذي تم تسجيل الدخول إليه في علامة التبويب الحالية.
تعني مشكلة عدم الحصانة أن الموقع الضار الذي تم ترميزه بشكل خاص قد يكون قادرًا على الوصول إلى بيانات الاعتماد المستخدمة على الموقع الذي تم الوصول إليه مسبقًا.
فقط تأكد من تحديثك إلى LastPass 4.33.0 أو إصدار أحدث ، وستكون آمنًا.
