LastPass corrige une faille dans son extension pour Firefox

LastPass corrige une faille dans son extension pour Firefox

Une nouvelle version déjà diffusée

Avatar de l'auteur
Vincent Hermann

Publié dans

Internet

23/03/2017 2 minutes
8

LastPass corrige une faille dans son extension pour Firefox

LastPass a corrigé hier une vulnérabilité dans son extension dédiée à Firefox. Elle a été découverte par le chercheur Tavis Ormandy de chez Google et permettait en théorie de dérober les identifiants des utilisateurs. Selon LastPass, elle n’a pas été exploitée.

LastPass est l’un des gestionnaires de mots de passe les plus utilisés. La sécurité y est prépondérante puisque le service stocke l’ensemble des identifiants d’un utilisateur, et propose de créer pour lui des mots de passe complexe, faisant appel au répertoire complet des caractères.

Lundi, le chercheur Tavis Ormandy a publié certaines informations sur une faille détectée dans l’extension Firefox. Exploitée, elle aurait pu permettre à un pirate de se faire passer pour un serveur de LastPass afin d’émettre des messages non authentifiés. Il aurait alors été en mesure de déclencher des commandes avec des privilèges élevés, y compris toutes celles ayant trait à la gestion des mots de passe, dont la copie et le remplacement.

Dans un billet publié hier soir, la société a indiquée avoir examiné la faille de près. La brèche a été confirmée et corrigée dans la foulée, l’éditeur recevant au passage les félicitations du chercheur « Si tous les éditeurs pouvaient être aussi réactifs ». Une nouvelle version de l’extension Firefox a été publiée et diffusée en mise à jour automatique pour les utilisateurs du navigateur. Point important, il n’est pas demandé de changer le moindre mot de passe, y compris celui protégeant le compte principal.

L’entreprise indique qu’il existait en fait plusieurs vulnérabilités, mais qu’elles étaient globalement toutes les mêmes, en fait des variations autour du même thème. Elle a également précisé qu’elles concernaient une fonctionnalité expérimentale de LastPass.

8

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (8)








Hiryuu a écrit :



ce n’est pas une faille mais trois …:

https://bugs.chromium.org/p/project-zero/issues/detail?id=1188

https://bugs.chromium.org/p/project-zero/issues/detail?id=1209

https://bugs.chromium.org/p/project-zero/issues/detail?id=1217

 







L’entreprise indique qu’il existait en fait plusieurs vulnérabilités,

mais qu’elles étaient globalement toutes les mêmes, en fait des

variations autour du même thème. Elle a également précisé qu’elles

concernaient une fonctionnalité expérimentale de LastPass.



DernierPassword. Dernière faille…



À quand le renommage de NextINpact en ImpactSuivant ?


Sympa l’accès à la machine en plus des mots des passes avec cette faille ^^


J’ai toujours du mal quand j’entends que les sociétés disent que les failles n’ont pas été exploitée. Comment peuvent elles le savoir ? En récoltant des données utilisateurs ?


Via les logs généralement, pour peux qu’il n’est pas été compromis tu retrouve des traces (requête spécifique pour les injections,  alerte kernel ou message incohérent pour tout ce qui est dépassement de mémoire…)



Sauf que là vu que c’est du middle man à priori c’est déjà beaucoup plus compliqué d’avoir des certitudes puisque coté serveur on a justement aucune trace.








cyp a écrit :



Via les logs généralement, pour peux qu’il n’est pas été compromis tu retrouve des traces (requête spécifique pour les injections,  alerte kernel ou message incohérent pour tout ce qui est dépassement de mémoire…)



Sauf que là vu que c’est du middle man à priori c’est déjà beaucoup plus compliqué d’avoir des certitudes puisque coté serveur on a justement aucune trace.







J’ai seulement lu le bug cité dans la news. Ce n’est pas du MITM mais “simplement” de l’exploitation d’API donc les logs serveurs peuvent servir pour l’investigation :)



Pour ceux que ça intéresse.https://bitwarden.com/

Open Source et 100% gratuit. Une (très) bonne alternative à LastPass.&nbsp;<img data-src=" />