Descubren un exploit en LastPass 4.1.42 que deja al descubierto las contraseñas
Las aplicaciones que posibilitan el almacenamiento y gestión de contraseñas de forma sencilla se han convertido en populares. El comienzo fue algo dubitativo, pero tras superar el periodo de aclimatación, son muchos los usuarios y empresas que hacen uso de esta. Sin embargo, no son del todo seguras y una prueba de ello es LastPass 4.1.42.
Al igual que las herramientas de seguridad y softwares antivirus, los usuarios esperan tener en sus manos un producto que responde en materia de seguridad a la importancia de los datos que se protegen. En este caso, estamos hablando de contraseñas de servicios, información que debería ser privada y solo visible por el usuario propietarios.
Pero esto no es así y por esto es noticia este software. El investigador Tavis Ormandy, miembro de la iniciativa Project Zero de Google, ha informado sobre un exploit descubierto que perite acceder a las contraseñas almacenadas. Aunque no está confirmado al 100%, parece ser que LastPass 4.1.42 y todas las versiones anteriores están afectadas por el problema de seguridad.
Por cortesía profesional, los detalles no se han revelado al 100%, ofreciendo 90 días a los responsables de la aplicación para que encuentren una solución al problema. Esta versión para navegadores Google Chrome y Mozilla Firefox permite a atacantes de forma totalmente remota acceder a las contraseñas y realizar la ejecución remota de código.
El experto en seguridad ha revelado que han trabajado varios días en este exploit y que basta con dos líneas de código para aprovechar el fallo de seguridad y sin que el usuario tenga que intervenir en el proceso.
No es el único problema que han hecho frente desde LastPass
Junto con KeePass, es una de las herramientas más utilizadas para almacenar contraseñas. Pero la seguridad es una asignatura pendiente. Sin ir más lejos, en enero de este año se supone que la aplicación no estaba cifrando todos los datos de los usuarios.
LastPass no está cifrando todos los datos de sus usuarios
LastPass no está cifrando todos los datos de sus usuarios
Hace dos años, el servicio sufrió un hackeo y nunca se supo cuál fue la información que quedó al descubierto
LastPass ha sido hackeado. ¿Qué debemos hacer?
El camino de este servicio no está siendo fácil, y una vez más queda demostrado que las tareas en lo que se refiere a materia de seguridad no se han cumplido.
Los responsables del servicio ya están trabajando en una solución
Desde LastPass han salido al paso de estas informaciones, confirmando la existencia de un problema de seguridad. Han querido transmitir cierta tranquilidad, indicando que es complicado que se explote. Han indicado que ya están trabajando en una solución que resuelva este exploit que ha sido encontrado por los miembros de Project Zero.
Teniendo en cuenta que el problema aparece cuando se utiliza el software de gestión de contraseñas con los navegadores web de Google y de Mozilla, una de las medidas que se pueden adoptar hasta que se encuentre una solución puede ser la desactivación de LastPass. En el momento que aparezca la nueva versión es recomendable actualizar. Como hemos indicado, no solo esta versión estaría afectada, también todas las anteriores publicadas del gestor de contraseñas.
Ver información original al respecto en Fuente:
to-las-contrasenas/
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.