Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

LastPass corrige une faille dans son extension pour Firefox

Une nouvelle version déjà diffusée
Internet 1 min
LastPass corrige une faille dans son extension pour Firefox

LastPass a corrigé hier une vulnérabilité dans son extension dédiée à Firefox. Elle a été découverte par le chercheur Tavis Ormandy de chez Google et permettait en théorie de dérober les identifiants des utilisateurs. Selon LastPass, elle n’a pas été exploitée.

LastPass est l’un des gestionnaires de mots de passe les plus utilisés. La sécurité y est prépondérante puisque le service stocke l’ensemble des identifiants d’un utilisateur, et propose de créer pour lui des mots de passe complexe, faisant appel au répertoire complet des caractères.

Lundi, le chercheur Tavis Ormandy a publié certaines informations sur une faille détectée dans l’extension Firefox. Exploitée, elle aurait pu permettre à un pirate de se faire passer pour un serveur de LastPass afin d’émettre des messages non authentifiés. Il aurait alors été en mesure de déclencher des commandes avec des privilèges élevés, y compris toutes celles ayant trait à la gestion des mots de passe, dont la copie et le remplacement.

Dans un billet publié hier soir, la société a indiquée avoir examiné la faille de près. La brèche a été confirmée et corrigée dans la foulée, l’éditeur recevant au passage les félicitations du chercheur « Si tous les éditeurs pouvaient être aussi réactifs ». Une nouvelle version de l’extension Firefox a été publiée et diffusée en mise à jour automatique pour les utilisateurs du navigateur. Point important, il n’est pas demandé de changer le moindre mot de passe, y compris celui protégeant le compte principal.

L’entreprise indique qu’il existait en fait plusieurs vulnérabilités, mais qu’elles étaient globalement toutes les mêmes, en fait des variations autour du même thème. Elle a également précisé qu’elles concernaient une fonctionnalité expérimentale de LastPass.

8 commentaires
Avatar de darkbeast Abonné
Avatar de darkbeastdarkbeast- 23/03/17 à 11:41:15

Hiryuu a écrit :

ce n'est pas une faille mais trois ...:
https://bugs.chromium.org/p/project-zero/issues/detail?id=1188
https://bugs.chromium.org/p/project-zero/issues/detail?id=1209
https://bugs.chromium.org/p/project-zero/issues/detail?id=1217
 

L’entreprise indique qu’il existait en fait plusieurs vulnérabilités,
mais qu’elles étaient globalement toutes les mêmes, en fait des
variations autour du même thème. Elle a également précisé qu’elles
concernaient une fonctionnalité expérimentale de LastPass.

Avatar de matroska INpactien
Avatar de matroskamatroska- 23/03/17 à 11:54:56

DernierPassword. Dernière faille...

À quand le renommage de NextINpact en ImpactSuivant ?

Avatar de Bejarid INpactien
Avatar de BejaridBejarid- 23/03/17 à 12:03:48

Sympa l'accès à la machine en plus des mots des passes avec cette faille ^^

Édité par Bejarid le 23/03/2017 à 12:03
Avatar de MinusCule Abonné
Avatar de MinusCuleMinusCule- 23/03/17 à 12:26:03

J'ai toujours du mal quand j'entends que les sociétés disent que les failles n'ont pas été exploitée. Comment peuvent elles le savoir ? En récoltant des données utilisateurs ?

Avatar de cyp Abonné
Avatar de cypcyp- 23/03/17 à 12:49:19

Via les logs généralement, pour peux qu'il n'est pas été compromis tu retrouve des traces (requête spécifique pour les injections,  alerte kernel ou message incohérent pour tout ce qui est dépassement de mémoire...)

Sauf que là vu que c'est du middle man à priori c'est déjà beaucoup plus compliqué d'avoir des certitudes puisque coté serveur on a justement aucune trace.

Avatar de CryoGen Abonné
Avatar de CryoGenCryoGen- 23/03/17 à 13:15:24

cyp a écrit :

Via les logs généralement, pour peux qu'il n'est pas été compromis tu retrouve des traces (requête spécifique pour les injections,  alerte kernel ou message incohérent pour tout ce qui est dépassement de mémoire...)

Sauf que là vu que c'est du middle man à priori c'est déjà beaucoup plus compliqué d'avoir des certitudes puisque coté serveur on a justement aucune trace.

J'ai seulement lu le bug cité dans la news. Ce n'est pas du MITM mais "simplement" de l'exploitation d'API donc les logs serveurs peuvent servir pour l'investigation :)

Avatar de Ricard INpactien
Avatar de RicardRicard- 27/03/17 à 16:36:04

Pour ceux que ça intéresse.https://bitwarden.com/
Open Source et 100% gratuit. Une (très) bonne alternative à LastPass. :yes:

Il n'est plus possible de commenter cette actualité.