El popular
gestor de contraseñas LastPass ha solucionado una vulnerabilidad que se
encontraba en su mecanismo de registro y que exponía y permitía robar las
claves de la última página web que había visitado el usuario.
El fallo de
seguridad fue descubierto originalmente en el mes de agosto por el investigador
de seguridad Tavis Ormandy, del equipo de expertos especializado en
vulnerabilidades Google Project Zero, que fue capaz de esbozar un 'exploit'
para aprovecharse de esta vulnerabilidad utilizando solamente 'scripts' de
Java.
Debido al
sistema de registro que utilizaban las pestañas autenticadas con el gestor de
LastPass, los últimos datos caché siempre quedaban guardados, de manera que
podían filtrarse las credenciales del último sitio web que hubiera visitado el
usuario.
Para extraer
esta información, simplemente era necesario pulsar en el botón de ajustes de
LastPass, y la consola de código mostraba las credenciales, aunque para ello
era necesario utilizar mecanismos adicionales como copiarlo en el Traductor de
Google para evitar las protecciones de LastPass contra páginas que no son de
confianza.
A pesar de
que los mecanismos para explotar este problema de seguridad podían no funcionar
siempre para todas las URLs, según ha advertido su descubridor se trata de una
vulnerabilidad de "severidad alta".
LastPass ha
parcheado el fallo la semana pasada en su versión v4.33 para los navegadores
Chrome, Firefox, Safari, Edge, Internet Explorer y Opera, como ha confirmado
también el propio Tavis Ormandy en su entrada en Chromium.
Fuente:
Europa Press
