Overzicht beveiligingsincident31 maart 2017 (20.10 u)

zaterdag大街25号melddeTavis Ormandy van谷歌's Project Zero een onderzoeksuitkomst in verband met de beveiliging van de LastPass-browserextensies。我们甚至可以在所有浏览器中更新uitgebracht om deze kwetsbaarheid。德泽是门塔维斯自留地。

我爱你，我爱你，我爱你，我爱你。Zorg dat u de meest recente versies gebruikt (hoger 4.1.44)， die u altijd kunt downloaden viahttps://www.lastpass.com/．

最重要的问题是，我们是否愿意对社区进行全面的评估。在那里有什么地方能让我们在特库姆的LastPass更好?格济恩·德·阿德·德·奎茨巴勒海德是德·阿德的技术师。

Samenvatting

• 在客户端van de LastPass-browserextensie中使用kwetsbaarheid，在操作人员中使用word gebruikt om gegeevens te stelen de extensie te manipuleren。
• Om deze kwetsbaarheid te kunnen gebruiken, moesten hackers de gebruiker naar een kwaadaardige website lokken (met algemene of gerichte phishing of anderszins) of naar een vertrouwde website met kwaadaardige adware。
  • Hiervoor是per gebruiker even individuele aanval nodig, uitgevoerd via de lokale browser van de gebruiker。
• Alle extensies zijn nu bijgewerkt met de oploss en ingediend bij de betreffende stores。
  • De kwetsbaarheden并没有在Android和iOS的移动应用程序中通过。
• LastPass-browserextensies更新了hoger的4.1.44版本。
  • 控制器uw版本门op het LastPass-pictogram te klikken。U vindt uw版本onder Meer opties > Over LastPass。
  • De meeste gebruikers ontvangen automatich De meest最近更新，maar De nieuste versie kan ook altijd worden gedownload vanafhttps://www.lastpass.com/．
  • Er is geen deïnstallatie vereist om de update te downloaden。

Evaluatie

De融合

De kwetsbaarheid aan De client-zijde van De LastPass-browserextensie werd veroorzaakt door De manier waarop LastPass zich gedragagt in zogeheten孤立的世界．De melding legt dit als volgt uit:“甚至孤立的世界JavaScript遇到了hetzelfde DOM (文档对象模型) als andere werden, maar zonder gedeelde variabelen en functions。探测器孤立的世界Zouden pagina的zonder rechten脚本遇到了meer rechten kunnen verstoren, en deze naar wens manipuleren。”De binaire versie van De extensie (die word gebruikt door minder dan 10% van De LastPass-gebruikers) zou gememanipuleerd kunnen worden om met远程代码执行(RCE) op afstand code op de extensie suit te laten voeren。

“与世隔绝的世界”

De werking van LastPass是voor甚至格鲁特deel gebaseerd op内容脚本。Dit zijn kleine stuks JavaScript die，我们在网站中实现。只是die内容脚本使LastPass zo nuttig voor onze gebruikers。甚至内容脚本communiceert met de rest van de extensie voor het zware werk: ontsleutelen van opgeslagen sites, updaten van de kluis, enzovoorts。De rest van De extensie是volledig afgesloten voor sites van derden en mag De content scripts niet beïnvloeden。

De内容脚本worden正常gesproken分开gehouden van De rest van De site，通过het概念van De孤立的世界．Dit概念(zie:孤立的世界) zorgt dat内容脚本wel de DOM-inhoud van een externe网站kunnen lezen, maar geen javascript - function of variabelen。Omgekeerd geldt ook: de externe网站heeft geen toegang tot功能的变量在onze内容脚本。Deze scheiding是bedoeld om beide kanten better te beveiligen tegen操纵van buitenaf。

Soms hebben deze variabelen涉及op de logica van het内容脚本。他是moeilijk om willekeurige waarden在JavaScript te injecteren met deze techniek。De melding liet echter zien dat er met een bijzonder slimme truc willekeurige strings konden worden geïnjecteerd。Eén hiervan是geneg om de extensie te laten denken dat hij op lastpass.com werd uitgevoerd。在最后一段时间内，在所有操作过程中，在所有操作过程中，在所有操作过程中，在所有操作过程中，在所有操作过程中，在所有操作过程中。

Wij gingen er van uit dat we konden bouwen op het algemene kader waarbinnen onze scripts worden uitgevoerd。it bleek onterecht。Hierdoor是在onze JavaScript mogelijk om externe, algemene variabelen boven de standaardwararden te platsen。

De oplosing van het问题

Nadat we volledige融合在一起，重量甚至功能，过度的反应，结果，在中间，在残余。这是对所有的浏览器扩展都是有意义的。它是geen envoudige patch, maar even kwetsbaarheid waar even grondige, doordachte oploss voor nodig是。De wijzigingen moesten vervolgens worden toegepast en getest voor alle betroffen扩展。

科汤姆:即使完全反对范德克韦斯特维里斯特，甚至behoorlijke设计。一队人在krijgen附近的de klok gewerkt和de fixes zo snel mogelijk。

Hiervoor hebben we de omgang会见variabelen aangepast en het代理对象toegevest aan de rand van het内容脚本，als甚至排序过滤从te voorkomen dat extern geleverde venstereigenschappen binnenin het内容脚本konden worden gelezen。在试验过程中(RCE)在试验过程中(RCE)在试验过程中(RCE)在试验过程中(RCE)在试验过程中(RCE)

我们在解决所有问题的问题上直接遇到了零计划。Zodra de oploss klaar是voor alle betroffen extensies, konden we deze laten beoordelen door alle stores en snel uitrollen naar gebruikers。我们将与苹果，谷歌，微软，Mozilla, Opera, Yandex等浏览器合作。

De toekomst

我们是在特维克拉尔斯van browserextensies sterk aan om hun code te controleren op dit patroen en om ervoor te zorgen dat ze deze kwetsbaarheid afdekken。

Wachtwoordbeheer正在工作;Veiligheid heeft daarom onze hoogste prioriteit en dat zal altijd zo blijven。Zoals altijd hechten we veel waarde aan het werk van de bebeilingsprofessionals die on product uitdagen en samenwerken会见onze team从er zo voor zorgen我们onze gebruikers甚至veilige dienst bieden。LastPass wordt ' s marktleder get test door de allerbeste专家，waar onze软件en onze klanten better van worden。

我们将会和以色列的黑客在一起。我们有一个属于自己的纲领:https://bugcrowd.com/lastpass．自然的我们看hierover op de hoogte。

遇到了vriendelijke groet，

我们的团队用LastPass

____________________________________________________________________________________________________________________________

27 maart 2017 (19.10 u)

Dit weekend meldde Tavis Ormandy, beveiligingsonderzoeker van谷歌，甚至nieuwe kwetsbaarheid aan de client-zijde in de browserextensie van LastPass。我们就是这样的。Deze aanval是uniek en bijzonder geavanceerd。我们将nog niets specifiek publiceren over de kwetsbaarheid of onze oploss, om minder geavanceerde maar kwaadwillende hackers niet op ideeën te brengen。U kunt een uitgebreidere evaluatie van ons verwachten, zodra de kwetsbaarheid opgelost是。

Tot die tijd willen we mensen zoals Tavis bedanken, die de lat voor online beveiliging遇到了LastPass steeds hoger leggen en遇到了onze teams samenwerken om van LastPass de meest veilige wachtwoordbeheerder te maken die er is。Daarnaast willen we onze gebruikers enkele stappen bieden, waarmee ze zichzelf better kunnen beschermen tegen dit sormen aan de客户zijde。

1. Gebruik de LastPass-kluis als een startlocatie -开始网站直接vanuit de LastPass-kluis。这是一个很好的例子。这是一个很好的例子。
2. Gebruik een extra beveilingslaag waar dat kan -Schakel waar mogelijk altijd tweeledige验证在voor uw帐户;Veel网站bieden deze optie tegenwoordig特别好看。
3. 杜绝网络钓鱼-Blijf altijd alert en vermijd pogingen tot Klik niet op links van onbekenden op links die niet overeenstemmen遇到了你gewend bent van uw vertroude contactpersonen bedrijven。Bekijk ook onze网络钓鱼的官司．

我们在外面的那块地方找不到你。