Connexion
Abonnez-vous

LastPass corrige une faille dans son extension pour Firefox

Une nouvelle version déjà diffusée

LastPass corrige une faille dans son extension pour Firefox

Le 23 mars 2017 à 10h40

LastPass a corrigé hier une vulnérabilité dans son extension dédiée à Firefox. Elle a été découverte par le chercheur Tavis Ormandy de chez Google et permettait en théorie de dérober les identifiants des utilisateurs. Selon LastPass, elle n’a pas été exploitée.

LastPass est l’un des gestionnaires de mots de passe les plus utilisés. La sécurité y est prépondérante puisque le service stocke l’ensemble des identifiants d’un utilisateur, et propose de créer pour lui des mots de passe complexe, faisant appel au répertoire complet des caractères.

Lundi, le chercheur Tavis Ormandy a publié certaines informations sur une faille détectée dans l’extension Firefox. Exploitée, elle aurait pu permettre à un pirate de se faire passer pour un serveur de LastPass afin d’émettre des messages non authentifiés. Il aurait alors été en mesure de déclencher des commandes avec des privilèges élevés, y compris toutes celles ayant trait à la gestion des mots de passe, dont la copie et le remplacement.

Dans un billet publié hier soir, la société a indiquée avoir examiné la faille de près. La brèche a été confirmée et corrigée dans la foulée, l’éditeur recevant au passage les félicitations du chercheur « Si tous les éditeurs pouvaient être aussi réactifs ». Une nouvelle version de l’extension Firefox a été publiée et diffusée en mise à jour automatique pour les utilisateurs du navigateur. Point important, il n’est pas demandé de changer le moindre mot de passe, y compris celui protégeant le compte principal.

L’entreprise indique qu’il existait en fait plusieurs vulnérabilités, mais qu’elles étaient globalement toutes les mêmes, en fait des variations autour du même thème. Elle a également précisé qu’elles concernaient une fonctionnalité expérimentale de LastPass.

Commentaires (8)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

J’ai toujours du mal quand j’entends que les sociétés disent que les failles n’ont pas été exploitée. Comment peuvent elles le savoir ? En récoltant des données utilisateurs ?

votre avatar

Via les logs généralement, pour peux qu’il n’est pas été compromis tu retrouve des traces (requête spécifique pour les injections,  alerte kernel ou message incohérent pour tout ce qui est dépassement de mémoire…)



Sauf que là vu que c’est du middle man à priori c’est déjà beaucoup plus compliqué d’avoir des certitudes puisque coté serveur on a justement aucune trace.

votre avatar







cyp a écrit :



Via les logs généralement, pour peux qu’il n’est pas été compromis tu retrouve des traces (requête spécifique pour les injections,  alerte kernel ou message incohérent pour tout ce qui est dépassement de mémoire…)



Sauf que là vu que c’est du middle man à priori c’est déjà beaucoup plus compliqué d’avoir des certitudes puisque coté serveur on a justement aucune trace.







J’ai seulement lu le bug cité dans la news. Ce n’est pas du MITM mais “simplement” de l’exploitation d’API donc les logs serveurs peuvent servir pour l’investigation :)


votre avatar

Pour ceux que ça intéresse.https://bitwarden.com/

Open Source et 100% gratuit. Une (très) bonne alternative à LastPass.&nbsp;<img data-src=" />

votre avatar
votre avatar







Hiryuu a écrit :



ce n’est pas une faille mais trois …:

https://bugs.chromium.org/p/project-zero/issues/detail?id=1188

https://bugs.chromium.org/p/project-zero/issues/detail?id=1209

https://bugs.chromium.org/p/project-zero/issues/detail?id=1217

&nbsp;







L’entreprise indique qu’il existait en fait plusieurs vulnérabilités,

mais qu’elles étaient globalement toutes les mêmes, en fait des

variations autour du même thème. Elle a également précisé qu’elles

concernaient une fonctionnalité expérimentale de LastPass.


votre avatar

DernierPassword. Dernière faille…



À quand le renommage de NextINpact en ImpactSuivant ?

votre avatar

Sympa l’accès à la machine en plus des mots des passes avec cette faille ^^

LastPass corrige une faille dans son extension pour Firefox

Fermer