LastPass ha solucionado un peligroso fallo de seguridad que exponía las últimas contraseñas utilizadas

LastPass ha solucionado un peligroso fallo de seguridad que exponía las últimas contraseñas utilizadas
1 comentario Facebook Twitter Flipboard E-mail

LastPass, unos de los gestores de contraseñas más populares actualmente, ha corregido un fallo de seguridad que exponía las últimas contraseñas utilizadas. El error, notificado a los responsables de la aplicación por el investigador de seguridad Tavis Ormandy, miembro del equipo de Google Project Zero, ha sido parcheado en la versión 4.33 publicada la semana pasada.

La vulnerabilidad, como explicaba Ormandy en su notificación sobre el hallazgo, exponía bajo determinadas circunstancias las últimas credenciales utilizadas debido a que una caché no se actualizaba. El investigador de Google fue capaz de esbozar un exploit capaz de aprovecharse del error ejecutando código JavaScript.

Un vistazo a…
Cómo utilizar la nemotecnia para crear y recordar contraseñas complejas y seguras
Se recomienda encarecidamente actualizar el gestor de contraseñas LastPass

Un error de "gravedad elevada"

LastPass

Este fallo de seguridad, pese a que podía no funcionar para todas las páginas web, fue calificado por su descubridor como de "gravedad elevada" según recoge ZDnet. Esto es debido a que podía reproducirse, como decíamos, únicamente con la ejecución de scripts de Java y la utilización de ciertos recursos.

Un atacante podía atraer a un usuario a una página maliciosa, disfrazando la dirección detrás de una dirección de Google Translate, y hacerse con las credenciales ejecutando JavaScript

El problema surgía debido al sistema de registro que emplean las pestañas autenticadas mediante LastPass, cuyos datos quedaban guardados en caché. Partiendo de este hecho, un atacante podía atraer a un usuario a una página maliciosa, disfrazando la dirección detrás de una dirección de Google Translate. Con ello, y accediendo a la consola, era posible extraer la información.

Por el momento, no se han reportado incidentes relacionados con esta vulnerabilidad que ya ha sido solucionado, pero se recomienda encarecidamente actualizar el gestor de contraseñas LastPass si no se ha hecho ya.

Comentarios cerrados
Inicio