Atualização do LastPass corrige falha grave em extensão do Firefox




O software de gerenciamento de senhas LastPass recebeu uma atualização para corrigir uma vulnerabilidade identificada pelo pesquisador em segurança do Google Tavis Ormandy. O problema estava localizado na extensão do LastPass para o navegador Firefox e permitia que sites da web enviassem comandos para o software, comprometendo completamente a segurança.
Resultado de imagem para firefox"O atacante pode criar e apagar arquivos, executar comandos, roubar todas as senhas, fazer as vítimas logarem em sua conta LastPass para roubar tudo de novo que estiver salvo lá, etc.", explicou Ormandy. O problema existe no LastPass 4, nas versões LastPass 4.1.20a e anteriores, mas não no LastPass 3.

O LastPass é um programa de gerenciamento de senhas. O objetivo desse tipo de programa é facilitar o uso de um grande número de senhas diferentes para evitar a reutilização e o esquecimento de senhas. A brecha pode ser explorada caso a vítima visite um site controlado por um atacante usando a versão vulnerável do programa.

Ormandy detectou a falha trabalhando para o "Projeto Zero", uma iniciativa em que o Google remunera pesquisadores para encontrar falhas em qualquer software popular. Ormandy recebeu da LastPass um prêmio pela descoberta do problema, mas pediu que o valor fosse doado à Anistia Internacional.

Pelas regras do Projeto Zero, os desenvolvedores dos programas têm um prazo de 90 dias para corrigir as falhas. A LastPass começou a distribuir uma atualização na quinta-feira (28), um dia após ter sido contatada por Ormandy com os detalhes do problema.

Ormandy tem descoberto falhas em diversos programas de segurança, inclusive programas antivírus de diversos fabricantes, como Symantec, AVG, Avast, Trend Micro, Sophos, Eset, Kaspersky, Malwarebytes e Comodo. Após revelar as falhas no LastPass, Ormandy recebeu no Twitter diversos pedidos para investigar um programa parecido, o 1Password. O pesquisador disse que vai verificar.

Falha corrigida há um ano é revelada
O pesquisador de segurança Mathias Karlsson revelou na quarta-feira (27) outra brecha no LastPass que já estava corrigida há um ano e que era até então desconhecida. O problema, diferente da vulnerabilidade descoberta por Ormandy, afetava a extensão para o Google Chrome.

O problema estava na maneira que a extensão detectava o "site atual". Aproveitando-se disso, um site controlado por um hacker poderia se passar por qualquer outro site da web e convencer a extensão do LastPass a preencher a senha do site em questão. Com isso, era possível extrair senhas de serviços específicos.

O LastPass ainda não tinha um programa formalizado para recompensar pesquisadores na época. Karlsson recebeu US$ 1 mil (R$ 3,3 mil, em valores atuais) pela colaboração.

Postagens mais visitadas deste blog

Boa Sorte!

inurl:usuarios.mdb inurl:users.mdb inurl:site.ini inurlassword.mdb inurlrders.log inurl:shopping.mdb inurl:cart/cart.asp inurl:/productcart inurl:vti_inf.html inurl:service.pwd inurl:users.pwd inurl:authors.pwd inurl:administrators.pwd inurl:shtml.dll inurl:shtml.exe inurl:fpcount.exe inurl:default.asp inurl:showcode.asp inurl:sendmail.cfm inurl:getFile.cfm inurl:imagemap.exe inurl:test.bat inurl:msadcs.dll inurl:htimage.exe inurl:counter.exe inurl:browser.inc inurl:hello.bat inurlasswd filetype:txt inurl:admin filetype:db inurl:iisadmin inurl:"auth_user_file.txt" inurl:"Admin_files" inurl:"wwwroot/*."allinurl:/i-shoppro shodbtest.asp allinurl: comersus_viewitem.asp allinurl:mdbinurl:usuarios.mdb inurl:users.mdb inurl:site.ini inurlassword.mdb inurlrders.log/cgi-bin/i-shop/admin/store.log /cgi-bin/i-shoppro/admin/store.log/cgi-bin/DCShop/Orders/orders.txt /WebShop/logs/cc.txt /WebShop/templates/cc.txt /cgi-bin/st...
Leia mais

Sobre o Google - O que ele diz sobre "inrul, intitle, allintilte, allinurl" e o que outros dizem...

Imagem
Princípios básicos de pesquisa Pesquisa Avançada Página de resultados de pesquisa Definindo Preferências Operadores avançados O Google suporta diversos operadores avançados, que são palavras de consulta que têm um significado especial para o Google. Tipicamente, estes operadores modificar a pesquisa, de alguma forma, ou até mesmo dizer o Google para fazer uma totalmente diferente tipo de pesquisa. Por exemplo, "link:" é um operador especial, bem como a consulta [link: www.google.com] não fizer uma pesquisa normal, mas sim verificar todas as páginas que têm links para www.google.com. Vários dos operadores utilização de pontuação mais comuns, em vez de palavras, ou não requerem uma cólon. Entre estes estão os operadores OR "," (citação do operador), - (a menos operador), e + (plus o operador). Mais informações sobre esses tipos de operadores encontra-se disponível na página Básico de Pesquisa. Muitos destes operadores especiais são acessíveis a partir da...
Leia mais