พบช่องโหว่ใน browser extension ล่าสุดของ LastPass เตือนผู้ใช้ระวังการใช้งาน

สุดสัปดาห์ที่ผ่านมา Tavis Ormandy นักวิจัยด้านความปลอดภัยของ Project Zero ได้ค้นพบช่องโหว่ client-side ใน browser extension ล่าสุดของ LastPass ซอฟต์แวร์จัดการรหัสผ่านชื่อดัง

Travis กล่าวผ่านแอคเคาท์ทวิตเตอร์ส่วนตัว @taviso ว่าเขาค้นพบวิธีเข้าถึง codeexec ใน LastPass เวอร์ชั่น 4.1.43 และได้ส่งรายละเอียดของช่องโหว่ไปยัง LastPass โดยไม่มีการเปิดเผยรายละเอียดของช่องโหว่ต่อสาธารณะตามนโยบาย 90 วันของ Project Zero ซึ่ง LastPass ได้ประกาศรับรู้ถึงปัญหาในวันจันทร์ที่ผ่านมา

Ah-ha, I had an epiphany in the shower this morning and realized how to get codeexec in LastPass 4.1.43. Full report and exploit on the way. pic.twitter.com/vQn20D9VCy

— Tavis Ormandy (@taviso) March 25, 2017

ล่าสุดทาง LastPass ได้ออกแถลงผ่านบล็อคว่ากำลังเร่งแก้ไขช่องโหว่นี้ซึ่งเป็นช่องโหว่ที่มีความ “แตกต่างและมีความซับซ้อนสูง” และจะยังไม่เปิดเผยรายละเอียดของปัญหาและวิธีการแก้ไขจนกว่าจะทำการอุดช่องโหว่ได้สำเร็จเพื่อป้องกันการฉวยโอกาสจากผู้ไม่หวังดี

นอกจากนี้ LastPass ยังได้แนะนำให้ผู้ใช้เสริมความปลอดภัยของตัวเองด้วยการใช้งาน LastPass ผ่าน LastPass Vault โดยตรง, เปิดการใช้งาน Two-Factor Authentication ในบริการต่างๆ, และระมัดระวังการโจมตีแบบ Phishing

ที่มา: http://gizmodo.com/lastpass-exploit-shows-that-last-password-you-made-prob-1793750568, https://blog.lastpass.com/2017/03/security-update-for-the-lastpass-extension.html/