Google Project Zero ได้พบข้อบกพร่องที่ทำให้ผู้ใช้สามารถขโมยรหัสผ่านหรือแม้กระทั่งรันโค้ดที่เป็นอันตรายจากระยะไกลบนเครื่องของตนได้อย่างต่อเนื่อง ทุกอย่างได้รับการแก้ไขแล้ว
ทาวิส ออร์ม็องดี ยิงอีกแล้ว ในช่วงเวลายี่สิบสี่ชั่วโมง Project Zero นักสืบที่น่าเกรงขามของ Google ได้รับมือกับข้อบกพร่องด้านความปลอดภัยที่สำคัญสองประการในส่วนขยายเบราว์เซอร์ LastPass ซึ่งเป็นเครื่องมือจัดการรหัสผ่านที่มีชื่อเสียง ครั้งแรกพบในรหัสจาวาสคริปต์ของซอฟต์แวร์นี้และอนุญาตให้ผู้โจมตีขโมยรหัสผ่านของผู้ใช้ผ่านเว็บไซต์ที่ถูกหลอก ไม่ว่าจะใช้เบราว์เซอร์ใดก็ตาม
หากผู้ใช้ได้ทำการติดตั้ง« ส่วนประกอบไบนารี LastPass »– ส่วนขยายเวอร์ชันปรับปรุงซึ่งมีฟังก์ชันการทำงานมากขึ้น – ผู้โจมตียังสามารถรันโค้ดจากระยะไกลได้ตามอำเภอใจอีกด้วย หากต้องการทราบว่าคุณกำลังใช้เวอร์ชัน “Binary Component” หรือไม่ ให้ไปที่เมนูแบบเลื่อนลง LastPass จากนั้นเปิด “ตัวเลือกเพิ่มเติม -> เกี่ยวกับ LastPass” มีการติดตั้งเวอร์ชันปรับปรุงแล้วหากคุณเห็นคำว่า "จริง" ถัดจาก "ส่วนประกอบไบนารี"
อ๊ะ ข้อบกพร่อง LastPass ใหม่ที่ส่งผลต่อ 4.1.42 (Chrome&FF) RCE หากคุณใช้ "Binary Component" ไม่เช่นนั้นสามารถขโมย pwds ได้ รายงานฉบับเต็มระหว่างทางpic.twitter.com/y92vm3Ibxd
— ทาวิส ออร์มังดี (@taviso)20 มีนาคม 2017
โชคดีที่ไม่จำเป็นต้องตื่นตระหนก ตั้งแต่นั้นมา LastPass ก็มีปล่อยแพทช์ซึ่งช่วยแก้ปัญหาได้ เกือบแล้ว เพราะไม่นานหลังจากการแจ้งเตือนนี้ Tavis Ormandy รายงานบน Twitter ว่าเขาพบข้อบกพร่องร้ายแรงประการที่สองที่อนุญาตให้ "ขโมยรหัสผ่านสำหรับโดเมนใดก็ได้"
https://twitter.com/taviso/status/844312124541186048
นี่เป็นช่องโหว่ที่คล้ายกับช่องโหว่แรก แต่เป็นเวอร์ชันเฉพาะสำหรับ Firefox มีรายละเอียดทางเทคนิคออนไลน์- นี่เป็นอีกครั้งที่วิศวกรของ LastPass โชคดีที่ได้เปิดตัวแพตช์เวอร์ชัน 4.1.36a แล้ว
โปรดทราบว่าในที่สุด LastPass เพิ่งแก้ไข aข้อบกพร่องที่สามที่ Tavis Ormandy ตรวจพบเมื่อเกือบหนึ่งสัปดาห์ที่แล้วในสาขา 3.3 จริงๆ แล้วนี่เป็นเวอร์ชันที่ใช้บ่อยที่สุดบน Firefox เนื่องจากเป็นเวอร์ชันอย่างเป็นทางการที่เผยแพร่โดย addons.mozilla.org หากต้องการดาวน์โหลด Lastpass 4 สำหรับ Firefox คุณต้องไปที่หน้าพิเศษ-
กล่าวโดยสรุป เราได้เห็นเทศกาลแห่งข้อบกพร่องอย่างแท้จริงสำหรับ LastPass สิ่งที่น่ามั่นใจก็คือบรรณาธิการพยายามแก้ไขอย่างรวดเร็ว แม้จะถึงขั้นได้รับทวีตแสดงความยินดีจาก Tavis Ormandy ก็ตาม ซึ่งไม่ใช่อะไรเลย
ประทับใจมากกับความรวดเร็ว.@LastPassตอบสนองต่อรายงานช่องโหว่ หากผู้ขายทั้งหมดตอบสนองได้ขนาดนี้ 👍
— ทาวิส ออร์มังดี (@taviso)22 มีนาคม 2017
แหล่งที่มา: รายงานช่องโหว่1188-1209-1217
🔴 เพื่อไม่ให้พลาดข่าวสารจาก 01net ติดตามเราได้ที่Google ข่าวสารetวอทส์แอพพ์-
