Kwetsbaarheid ontdekt in browserextensie van LastPass

De browserextensie van wachtwoordmanagementtool LastPass bevat een ernstige kwetsbaarheid die het mogelijk maakt code uit te voeren op de systemen van gebruikers. Voor de kwetsbaarheid is momenteel nog geen oplossing beschikbaar.

Het beveiligingsprobleem is ontdekt door beveiligingsonderzoeker Tavis Ormandy van Google. Ormandy heeft contact opgenomen met LastPass en melding gemaakt van het beveiligingsprobleem. LastPass erkent het probleem en meldt in een blogpost te werken aan een oplossing. Het probleem doet zich overigens alleen voor in desktop-versie van de wachtwoordmanagementtool; de smartphone app is niet getroffen.

Geen details bekend

Zowel Ormandy als LastPass maken geen details bekend over het beveiligingsprobleem. LastPass belooft meer details bekend te maken zodra een update beschikbaar is waarin het probleem wordt opgelost. LastPass bedankt Ormandy voor het melden van het probleem.

LastPass adviseert gebruikers in de tussentijd enkele maatregelen te nemen. Zo raadt het bedrijf aan websites tijdelijk direct vanuit de LastPass kluis te lanceren, en hiervoor geen gebruik te maken van de browserextensie. Daarnaast adviseert LastPass alert te zijn op verdachte links en e-mailbijlagen waarmee cybercriminelen inloggegevens in handen proberen te krijgen. Tot slot raadt LastPass aan twee-staps-authentificatie in te schakelen op alle websites en diensten die dit ondersteunen.

Ah-ha, I had an epiphany in the shower this morning and realized how to get codeexec in LastPass 4.1.43. Full report and exploit on the way. pic.twitter.com/vQn20D9VCy

— Tavis Ormandy (@taviso) 25 maart 2017