菜单
Marzo 2017年27日 | 通过

Actualización de seguridad para la extensión de LastPass

通知清醒的突发事件:31 de marzo de 2017 (20.10 h)

El sábado 25 de marzo, Tavis Ormandy,零项目装备调查官,informo这是一个关于导航和LastPass的问题。恩拉últimas 24 horas, publicos una actualización pensada, para corregir, la,脆弱性,探测,在航行者中,算法,hemos, verificado, con, el, propio。

La actualización se aplicará automáticamente en La mayoría de los casos。通常的德本asegurarse de que están实用赞多la versión más reciente (4.1.44 o superior), que puede descargarse también desdehttps://www.lastpass.com/

这是一个问题,这是一个通常的问题análisis关于未来的问题,关于未来的问题,关于未来的问题。一个原因características de la vulnerable, se trata de un análisis altamente técnico。

Resumen

  • Esta漏洞afectaba la parte del client de las extensiones para navegador de LastPass y podía abrir la puerta al robo de datos y la manipulación de la extensión de LastPass。
  • Para explotar la vulnerability idad, hacía falta engañar al usuario Para conguir que accediera a un sittio web malicioso (a través de phishing, spearphishing u otra técnica) o bien a un sittio web de conffianza que ejecutara adware malicioso。
    • Esta acción需要我们正常的日常生活través我们当地的导航。
  • Todas las extensiones se han actualizado con la corrección y la última versión se ha enviado ya a las tiendas de extensiones。
    • 意外事件afectó a nuestras aplicaciones para dispositivos móviles Android y iOS。
  • Todas sus extensiones para navegador de LastPass deben estar actualizadas a la versión 4.1.44 o superior。
    • Para saber su número de versión, vaya al icono de la extensión de LastPass > Más opciones > Acerca de LastPass。
    • En la mayoría de los casos la actualización es automática, pero siempre es possible descargar las últimas versiones desdehttps://www.lastpass.com/
    • 没有必要去安装,没有必要去安装para descargar la versión actualizada。

Análisis后验

El informe

La vulnerability en La parte del client de las extension para navegador de LastPass tenía su origen el comportamiento de LastPass en los denominados«mundos aislados»。我知道你是谁,你是谁ejecución JavaScript你是谁DOM (文档对象模型)“我的世界,我的元素与变量和功能是不一样的。”罪恶的世界,una página罪恶的特权podría干涉,脚本,特权和义务,一个人,一个人»。在通常情况下的工作场所versión二进制extensión(10%的通常情况下的LastPass的代表),esta漏洞podría haber abierto la puerta a una manipulación capaz de permitir la ejecución远程de código (RCE) En la extensión。

«Mundos aislados»y páginas confianza

我的名字是,我的名字是,我的名字,我的名字。这些脚本和代码片段抓取代码información这些脚本和代码片段sesión这些脚本和代码片段自动完成代码más útiles这些代码片段。A su vez, el script de contrido se comunica con res de la extensión para ocuparse de las tareas más exigentes: descifrar los sitos guardados, actualizar la bóveda等。回复extensión整体不可接近的地方和不受干扰的问题与冲突的脚本。

正常秩序的脚本están正常秩序的恢复,正常秩序的概念的感谢»。洛杉矶世界报aisladosJavaScript内部的变量和函数,JavaScript内部的变量和函数。这是一种错误,取代了相反的感觉:在同一世界中,没有一种感觉,在同一世界中,没有一种感觉。Con esta separación, la idea es reforzar la protección contra manipulaciones externas en las dos dos partes。

在我们的生活中,在我们的生活中,变化的影响lógica在我们的思想中。Con esta técnica resulta complicado introduction valores arbitrarios en JavaScript, pero gracias a una interesante línea de análisis el informe demostró la可能性de incrustar cadarias arbitrarias, y Con una bastó para engañar a la extensión y hacerle creer que se建立一个ejecutando en lastpass.com。De esta forma, un atacante podía操纵la extensión De LastPass para que revelara los datos almacenados por el usuario en cuestión y, en el caso De la versión二进制,激活弹射任意。

Desde nuestro planteamiento, considerábamos que podíamos confiar en el contexto global enel que se ejecutaban nuestros scripts de contenido, pero la realidad demostró que no era así y que en muchos puntos de nueststro JavaScript existía el riesgo de变量global de origen externo pudieran imponer su自愿清醒的英勇预先决定。

Resolución del problema

无达más完整通知,紧急装备横向analizó y corroboró结论。恩塞圭达quedó有关问题的专利haría关于重要问题的精神延伸的导航权利。没有bastaba con un simple parche, sino que sería必要性una corrección profunda y筋疲力尽。Además, estos cambios tendrían que applicarse y comprobarse en todas las extensiones afectadas。

回忆,回忆,回忆,回忆,回忆,回忆,回忆,回忆,回忆exigía回忆,回忆,回忆,回忆exigía回忆,回忆trabajó回忆,回忆,回忆,回忆。

应用程序的媒介入口manipulación变量和añadimos代理对象perímetro争论的外部内容,actúa争论的外部内容和争论的外部内容的外部内容。Para reducir el riesgo de RCE,介绍限制的介绍和补充的内容extensión puede abrir y limitamos las API disponibles en la extensión。

在此过程中,直接合作与装备项目的零项目,在此项目中,在此项目中,在此项目中,在此项目中,在此项目中,在此项目中,在此项目中,在此项目中,在此项目中,在此项目中,在此项目中,在此项目中,在此项目中,在此项目中,在此项目中。一个灿烂的日子corrección para todas las extensiones afectadas, la enviamos con todas las tiendas para su revisión y en muy poco tiempo la puusimos a disposición de los usuarios。Desde aquí agradecemos a苹果,谷歌,微软,Mozilla, Opera, Yandex y otras empresas la rapidez con la que revisaron y publicaron nuestra extensión。

未来的米兰多

建议,我们的建议,我们的建议,我们的建议,我们的建议,我们的建议,我们的建议,我们的建议,我们的建议,我们的建议,我们的建议,我们的建议,我们的建议,我们的建议,我们的建议,我们的建议。

祝福者gestión de contraseñas y,祝福者será siempre nuestra máxima prioridad。在这里,我们可以看到,在这里,我们可以看到,我们可以看到,我们可以看到,我们可以看到,我们可以看到。Por nuestra condición de líder del mercado, sometemos LastPass a las pruebas más exigentes可能的原则和原则,有利的,de este过程儿子nuestro软件和nuestros客户。

与此同时,我们还能继续合作,继续分析,我们也能继续合作,继续分析,我们也能继续合作,继续补偿,我们也能继续补偿,我们也能继续补偿,我们也能继续补偿,我们也能继续补偿,我们也能继续补偿,我们也能继续补偿,我们也能继续补偿,我们localización,我们的错误(https://bugcrowd.com/lastpass).快到天梯más户外之路。

很多谢谢。

El equipo de LastPass

____________________________________________________________________________________________________________________________

27 de marzo de 2017 (19.10 h)

Durante el fin de semana, Tavis Ormandy,谷歌安全问题调查员,informó la parte delclient的新漏洞extensión para navegador de LastPass。实际问题。Este tipo de ataque es极端adamente sofisticado e异常。阿赫拉,我的爱是没有启示的información específica清醒的精神脆弱corrección我们的结果útil一个人,一个人,一个人,一个人,一个人,一个人,一个人,一个人,一个人,一个人,一个人。

我爱你,我爱你,我爱你listón我爱你,我爱你listón我爱你,我爱你continúe我爱你contraseñas más我爱你,我爱你。También关于客户的问题和保护的问题,关于客户的问题和保护的问题和客户的问题。

  1. Ejecución de aplicaciones desde la bóveda de LastPass -Esta vía es la forma más segura de acceder a sus credciales和sus sittios has a corrija la vulnerability。
  2. Autenticación“为国家服务的双重因素”- - - - - -Siempre que sea possible, aplique la autenticación doble factor consus cuentas;Ahora muchos sittios网站ofrecen esta opción para reforzar la seguridad。
  3. 我知道你在钓鱼- - - - - -极端的siempre las precauciones para evitar cualquier意图钓鱼.没有一个神圣的光环,没有一个君子之心extraño ilógico,没有一个神圣的光环,没有一个君子之心confía。我看到了一个灵魂预防网络钓鱼委员会

Una vez finalizada la corrección daremos a conocer más información。


Comentar /秋波comentarios

留下回复

Deja una respuesta

Baidu