菜单
2017年marzo 27日 | 通过

Actualización de seguridad para la extensión de LastPass

告诉我发生了什么事:2017年3月31日(20.10小时)

El sábado 25 de marzo, Tavis Ormandy,零号计划调查员,informo这是一个与LastPass之间的延伸关系的问题。在últimas 24小时内,我们的公众可以通过actualización pensada para corregir la vulnerabilidad detectada En dos navegadores,然后我们可以验证和propio Tavis。

La actualización se aplicará automáticamente en La mayoría de los casos。Los usuarios deben asurarse de que están utilizdo la versión más reciente (4.1.44 o superior), que puede descargarse también desdehttps://www.lastpass.com/

一个原因是这个问题,我们可以把这个问题的含义告诉我们,我们可以把未来的最后一段道路重新规划。一个导致características de la vulnerabilidad, se trata de un análisis altamente técnico。

Resumen

  • 这是一个安全漏洞,可以通过客户端连接到LastPass,可以通过podía,可以通过文件连接到manipulación,可以通过extensión,可以通过LastPass。
  • 我们可以利用漏洞hacía falta engañar我们可以利用恶意网络(través de phishing, spearphishing u otra técnica)或者我们可以利用恶意网络。
    • 在acción上,我们需要一个当地人的电话号码。
  • 我们可以在corrección或última versión上实现这个扩展,我们羡慕你们在这个扩展上。
    • La incidencia no afectó a nuestras applicaciones para dispositivos móviles Android y iOS。
  • 我们可以通过下面的方法来实现这个目标:versión 4.1.44。
    • Para saber su número de versión, vaya al icono de la extensión de LastPass > Más opciones > Acerca de LastPass。
    • En la mayoría de los casos la actualización es automática, pero siemprees可能descargar las últimas versions desdehttps://www.lastpass.com/
    • 没有必要把它取消,也没有必要把它变成现实。

进行分析后验

El informe

易受攻击的是客户端,客户端延伸到LastPass tenía。我们可以把它放在一个信息里,我们可以把它放在ejecución的JavaScript里,把它放在DOM里(文档对象模型除此之外,变量和函数之间没有什么不同。在这里,我们可以看到página罪恶特权podría干涉契约,契约上的特权高于你的权利。在这个情况下,我们可以使用versión binaria de la extensión(代表10%的LastPass),在这个情况下,我们可以使用podría haber abierto la puerta a una manipulación capaz de permitir la ejecución remota de código (RCE) En la extensión。

«Mundos aislados»y páginas de conffianza

我们的最后一站是在我们的最后一站是在我们的最后一站。脚本的内容和JavaScript代码片段包含了所有的内容,例如:información de inicio de sesión y ejecutar acciones de autocompletado, dos de las prestaciones más útiles de LastPass。一份文件,一份关于恢复联系的文件extensión,关于这个地区的情况的文件más,急件:说明这个国家的情况,实现bóveda,等等。这里的地址是完全不可访问的,我们不能干涉我们的争论。

这是我们共同的原则están我们的原则是恢复我们的地位,我们的原则是共同的原则。洛杉矶世界报aislados如果没有JavaScript内部的函数变量,那么就允许在一个特定的DOM中使用一个竞争性的脚本。我们可以在相反的条件下继承:这个条件不能把函数排除在新的条件下的变量中。在separación上,想法是重新制定的,在protección上,反对外部的操纵。

在我们的讨论中,有一些变量会影响我们讨论的内容。可以输入técnica resulta complicado introduction a valores arbitrarios en JavaScript,也可以输入línea de análisis el informe demostró la posibilidad de incenas arbitrarias,也可以输入bastó para engañar a la extensión y hacerle creer que se estaba ejecutando en lastpass.com。在格式上,一个atacante podía manipular extensión LastPass para que los datos almacenados por el usuario en cuestión y,另一个caso De la versión binaria, activar ejecables arbitrary。

Desde都planteamiento, considerabamos podiamos confiar en el contexto全球en el, se ejecutaban都脚本de contenido佩罗la realidad demostro是没有时代asi y, en mucho分都能JavaScript existia危险,变量全球de奥利金externo pudieran赌苏voluntad尤其联合国英勇predeterminado。

Resolucion del问题

Nada más recibir el通知completo,一个紧急横线analizó y corroboró最后的结论。Enseguida quedó patente que para corregir los problemas haría falta an cambio importante en eestras extensiones para navegador。不是简单的烤面包,而是sería必要的,corrección深刻的和详尽的。Además, estos cambios tendrían这是我们对这些延伸的理解。

综上所述,我们可以把积分和发现联系起来,我们可以告诉我们exigía一个相当大的数据,但是我们可以告诉我们trabajó相反,我们可以介绍在可能的时间内纠正的数据。

在我们的应用中,可以看到manipulación变量,añadimos el objeto Proxy, perímetro外部内容,actúa como zona, aiislada, para itar, a lecture de propiedades de ventanas de origen externo dentro de contenido。对RCE进行还原,并在附件中介绍其限制条件:extensión我们可以在附件中介绍API限制条件:extensión。

我希望你们能继续合作,并对零号项目的设备进行指导,以便我们对新项目进行修正,并对其进行彻底的改造。我们可以把它列在corrección的表上,把它列在我们的表上,把它列在revisión的表上,把它列在我们的表上,把它列在disposición的表上。Desde aquí agradecemos a Apple,谷歌,Microsoft, Mozilla, Opera, Yandex和其他国家的empresas la rapidez con la revisaron y publicaron nuestra extensión。

Mirando al无缝化

建议在其他地方观察到的延伸的例子如下:patrón se repite en su código。

Nosotros nos竭诚奉献gestión de contraseñas y, por lo tanto, la seguridad y será siempre nuestra máxima prioridad。所以,我们可以在我们的国家里实现我们的新产品,我们可以在我们的新产品里得到我们的服务。Por nuestra condición de líder del mercado, sometemos LastPass a las pruebas más exigentes可能有您的委托人在nuestro软件和nuestros客户的处理过程中。

我们可以在此基础上继续合作,在此基础上继续合作,在此基础上继续合作,在此基础上继续合作,在此基础上继续合作,在此基础上继续合作,在此基础上继续合作,在此基础上继续合作,在此基础上继续合作,在此基础上继续合作,在此基础上继续合作,在此基础上继续合作,在此基础上继续合作,在此基础上继续合作(https://bugcrowd.com/lastpass).我们很快就能在这里见面了。

很多谢谢。

最后一关的装备

____________________________________________________________________________________________________________________________

2017年3月27日(19.10小时)

Tavis Ormandy, Durante el de semana, de seguridad de谷歌的调查员,informó de una nueva vulnerabilidad de client de la extensión para navegador de LastPass。现在我们应该采取行动解决这个问题。这是一种不同寻常的世故。我想要的是不被告知información específica清醒的易受攻击的人corrección我想要的结果útil一个有缺陷的人,但是我想要的结果是公开的我们想要的结果是análisis más的。

值得注意的是,大家都很喜欢他,他的朋友,我们可以在listón的网站上看到他,我们可以在网站上看到他,continúe的网站上看到他,contraseñas más的网站上看到他。También您可以向我们推荐一些与客户关系有关的问题。

  1. Ejecución de applicaciones desde la bóveda de LastPass -这是vía,这是形式más,这是我们取得的证书和我们的情况,这是我们的弱点。
  2. Autenticación我想给你们提供更多的服务- - - - - -Siempre que sea possibly, aplique la autenticación de double factor con entas;我想在最近的一个网站opción上重新制定一个政策。
  3. 打击网络钓鱼- - - - - -这是最重要的intento de钓鱼.没有任何事情可以阻止我们对结果extraño或ilógico的争论,我们可以通过confía来证明我们的身份。我们看到的是一幅新画我们要防止网络钓鱼

我们可以在corrección上结束比赛,在más información上结束比赛。


Comentar /秋波comentarios

留下一个回复

记忆una respuesta