LastPass: właśnie załatano lukę, przez którą mogły wyciec hasła
Wydawać by się mogło, że w aplikacji takiej jak menedżer haseł, zabezpieczenia dopracowywane są przez twórców w pierwszej kolejności i nie może być mowy o jakichkolwiek uchybieniach. Nie pierwszy raz jednak mieliśmy okazję się przekonać, iż błędy programistów zdarzyć się mogą na każdym polu, w tym wypadku również tak kluczowym.
Na początku miesiąca informowaliśmy o niedopatrzeniach w kodzie menedżerów haseł na Androida, teraz mamy natomiast okazję przyglądać się aplikacji LastPass, której rozszerzenia przeglądarek zostały właśnie załatane po wykryciu błędów.
Problem zauważony został dwa dni temu w rozszerzeniu LastPass działającym w przeglądarce Google Chrome. Jak wynika z dostarczonych informacji, niedopatrzenie w kodzie dawało potencjalnemu hakerowi możliwość zdobycia dostępu do komend RPC, w efekcie umożliwiając nawet odczytanie zapisanych haseł i uzupełnianie nimi formularzy.
Okazuje się, że wspomniana luka to pozostałość po próbach z nowymi funkcjami w LastPass, przez co znalazła się nie tylko we wspomnianym Chromie, ale trafiła również do Firefoxa oraz Edge'a. Twórcy informują natomiast, że jak dotąd nie otrzymali żadnych zgłoszeń, jakoby czyjeś hasło faktycznie zostało wykradzione, przez co nie jest też potrzebna jego zmiana w programie:
Z żadnego z otrzymanych raportów nie wynika, aby luka rzeczywiście została przez kogoś wykorzystana, ale obecnie robimy wszystko, by informacje te dodatkowo potwierdzić.
Wkrótce dostarczymy szczegółów o zdarzeniach i zapewnimy odpowiednie informacje, niezbędne naszej społeczności.
Na konkrety przyjdzie więc jeszcze chwilę poczekać, zaś wykryte błędy zostały już naprawione i łatki na bieżąco powinny trafiać do użytkowników. W większości przypadków proces aktualizacji zostanie przeprowadzony automatycznie.
