Descoberta de incidente:31 de março de 2017 (20h10)

不sábado, dia 25 de março，嗯pesquisador de segurança做Project Zero做谷歌，Tavis Ormandy，relatouter descoberto uma falha de segurança nas extensões do LastPass para navegadores。Nas últimas 24 horas, lançamos uma atualização que acreditamos que solucionará a vulnerabilidade em todos os navegadores e confirmamos seu funcionamento com próprio Tavis。

maioria dos usuários receberá A atualização automaticamente。验证você está executando a versão mais recente (4.1.44 ou superior)， disponível para download emhttps://www.lastpass.com/．

关于解决问题的集会，gostaríamos de deixar uma mensagem para nossa comunidade清醒的que essa descoberta有意义的para nós e como estamos deixando o LastPass melhor e mais seguro daqui para frente。Dada a natureza da vulnerable idade, a mensagem é altamente técnica。

Visao;

• A vulnerability idade que abordamos ocorreu no lado do client das extensões do LastPass para navegadores e poderia ser explorada para roubar dados e manular nossa extensão
• Para que a exploração ocorresse, o usuário seria atraído a um site mal-intencionado (por phishing, spearphishing, ou outa forma de ataque) ou Para um site confiável com um adware mal-intencionado
  • Seria necessário um ataque por usuário, executado pelo navegador local do usuário
• Todas作为extensões foram反射层e enviadas para as lojas de extensões
  • Nossos应用程序móveis para Android e iOS não foram afetados
• Todas as suas extensões do LastPass para navegadores dev ser atualizadas para versão 4.1.44 ou superior
  • Clique no ícone da extensão do LastPass > Mais opções > Sobre LastPass para verificar qual é a sua versão
  • A maioria dos usuários recebem atualizações automaticamente, mas as versões mais recentes estão sempre disponíveis emhttps://www.lastpass.com/
  • Não é necessário desinstalar a extensão para baixar a versão atualizar

Mensagem

一个descoberta

Essa vulnerabilidade do lado do client nas extensões do LastPass para navegadores foi causada pelo modo como LastPass se comporta em“mundos isolados”。Como observado， " um mundo isolado é um ambiente de execução de JavaScript com o mesmo DOM (文档对象模型)世界的前景，美好的景象，como variáveis e funções。Sem os mundos isolados, páginas Sem privilégios podem ter interferências em scripts com mais privilégios para fazer o que quiserem。”Quem usa a versão binária da extensão, ou seja, menos de 10% dos usuários do LastPass, poderia haver uma manipulação para permitr uma execução remota de código na extensão。

“世界孤立”e páginas confiáveis

O功能做LastPass baseia-se em脚本de conteúdo。脚本de conteúdo são trechos de JavaScript que injetamos em sites externos para captar informações de login e executor o recurso de autocompletar。É contando com isso que o LastPass é tão útil。Em troca, o script de conteúdo se communica com restante da extensão para fazer o trabalho pesado:描述grafar os sites salvos, atualizar o cofre e assim por diante。O restante da extensão fica complete inacessível para sites externos, sem poder interferir nos scripts de conteúdo。

Basicamente, os脚本de conteúdo ficam separados do resto do site pelo envisto do do mundos isolados。Com操作系统世界报isolados， nossos脚本de conteúdo podem ler os conteúdos DOM de um site externo, mas sem contato com nenhuma função ou variável内部JavaScript。O contrário também se aplica: O site externo não pode executar nenhuma função nem acessar variáveis dos nossos scripts de conteúdo。função dessa separação é manter ambos os lados齐射manipulação externa。

Em alguns casos, essas variáveis podem influenciar a lógica do script de conteúdo。É difícil injetar valores arbitrários没有JavaScript usando esta técnica。No entanto, em uma manobra speciarmente engenhosa, a descoberta demonstrou que strings arbitrárias poderiam ser injetadas, e uma dessas era o bastante para enganar a extensão para fazê-la pensar que estava executando em lastpass.com。Assim, um invasor poderia operular a extensão do LastPass para revelar os dados armazenados pelo usuário, iniciando executáveis arbitrários no caso da versão binária。

Estamos supondo que podemos confiar no escopo global em que nossos scripts de conteúdo rodam, e isso se provou não ser o caso。结果，我们有自己的地方，有自己的地方JavaScript有自己的地方possível有自己的地方variáveis全球有自己的地方substituísse有自己的地方padrão。

Solução做问题

即刻行动após侦察行动relatório侦察行动，多学科调查确认问题。Ficou claro que a solução exigiria uma mudança signativa em nossas extensões para navegadores。Não se tratava de uma simples correção: seria necessário um reparo completo e memeloso。Daí， essas mudanças precisariam ser aplicadas e testadas em todas as extensões afetadas。

Em suma, todo o cuidado para solucionar essa vulnerabilidade exigiu muito esforço, fazendo nossa equipe trabalhar sem parar para conir os reparos no menor tempo possível。

Na solucao mexemos Na manipulacao de variaveis e acrescentamos o objeto代理para o escopo externo做脚本de conteudo funcionando科莫乌玛·“沙箱”帕拉避免,propriedades de janelas德丰特斯答辩fossem丽达dentro de conteudo做脚本。Para mitmitgar ainda mais a execução remota de código, implementamos restrições nos tipos de anexos que a extensão pode abrir e limitamos as APIs disponíveis。

“零计划”的“自由和充分的权利”。Após concluirmos o reparo para todas as extensões afetadas, pudemos submetê-las à análise de todas as lojas para elas chegassem aos nossos usuários o mais rápido possível。Gostaríamos de agradecer a nossos paraceiros da Apple，谷歌，Microsoft, Mozilla, Opera, Yandex e outros que agilizaram a análise e a liberação de nossas extensões。

O que vem por aí

建议建议extensões电子设备padrão电子设备códigos para garantir que não电子设备vulneráveis。

关于生命的开始，segurança é生命será生命的开始máxima。伟大的上帝admiração伟大的上帝admiração伟大的上帝segurança伟大的上帝，伟大的上帝，伟大的上帝serviço伟大的上帝usuários。Como líderes de mercado, temos a nata da comunidade testando o LastPass e, em troca, quem ganha são os nossos clientes e o noso software em si。

A fim de manter o maiis alto nível de segurança, continuaremos em parceria com pesquisadores white hat e incentivaremos A participação em noso programa de relato de bugs (https://bugcrowd.com/lastpass)．Fique atento a mais informações。

Atenciosamente,

一个装备LastPass

____________________________________________________________________________________________________________________________

27 de março de 2017 (19h10)

没有fim de semana, um pesquisador de segurança do谷歌，Tavis Ormandy, relatou ter descoberto uma nova vulnerabilidade No lado do cliente na extensão do LastPass para navegadores。没有记忆，那是脆弱的。我们爱你é atípico我们爱你。Queremos evitar a divulgação de algo específico清醒的a vulnerabilade ou no que estamos trabalhando para solucioná-la a fim de não revelar algo para pessoas mal-intencionada。Portanto, aguarde uma publicação mais detalhada quando tivermos concluído nosso trabalho。

porora, gostaríamos de agradecer a pessoas como Tavis, que ajudam a LastPass a elevar cada vez mais seus padrões de segurança e cooperam com nossas equipes para que continuemos sendo gerenciador de senhas mais seguro do mercado。Queremos também relembrar a nossos usuários algumas providências que podem protegê-los ainda mais desses tipos de problemas。

1. 使用o cofre do LastPass como uma platform de acessoAbra sites diretamente do cofre do LastPass。Esse é o jeeto mais seguro de acessar sites e suas credenciais até que essa vulnerabilidade seja resolvida。
2. 使用autenticação de dois fatores em todos或serviços que a oferecerem -Sempre que possível, habilite a autenticação de dois fatores nas suas contas;Muitos网站já oferecem essa opção para aumentar a segurança。
3. Fique atento a ataques de phishing -祝你永远快乐试探式网络钓鱼。Não集团链接羡慕羡慕羡慕羡慕羡慕羡慕羡慕羡慕羡慕羡慕羡慕羡慕羡慕羡慕羡慕羡慕羡慕羡慕羡慕羡慕羡慕羡慕você羡慕羡慕。《nossa表示Dicas para evitar tentativas de phishing．

泄密新星informações清醒a correção após a conclusão。