Descubren una grave falla de seguridad en LastPass, uno de los gestores de contraseñas más utilizados

31 Mar

El bug fue descubierto por Travis Ormandy, ingeniero de seguridad de Google.

LastPass, uno de los servicios de gestión de contraseñas más utilizados de Internet, tuvo que corregir de urgencia una falla de seguridad que permitía la ejecución de un código remoto y el robo de contraseñas mediante el uso de un exploit funcional en Windows. El bug fue descubierto por Travis Ormandy, ingeniero de seguridad de Google, que solo necesito dos líneas de código en JavaScript para vulnerar el sistema.

La vulnerabilidad se encontraba en la extensión de LastPass para Chrome y Firefox, más específicamente en la versión 4.1.42. Ormandy aclaró que el exploit podría llegar a funcionar en otras plataformas, aunque evitó dar mayores detalles al respecto.

Desde LastPass informaron que estaban al tanto del reporte generado por Ormandy y aclararon que estaban trabajando en una solución, la cual fue confirmada horas después, aunque sin proporcionar información extra. Vale destacar que Project Zero, el grupo de seguridad para el que trabaja Ormandy, usualmente da 90 días a los afectados para solucionar las fallas antes de hacerlas públicas; en este caso, la respuesta fue prácticamente inmediata.

Se espera que el parche esté disponible en las próximas actualizaciones para Chrome y Firefox de LastPass. Por ahora, la compañía no ha brindado ninguna precisión al respecto, pero todo indica que los updates serán liberados esta semana.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *