Lóhalálában javított súlyos hibákat a LastPass

​A LastPass jelszókezelő kapcsán több súlyos sérülékenység is napvilágot látott. A fejlesztők azonban példaértékű gyorsasággal orvosolták a rendellenességeket.
 

Tavis Ormandy kutató neve a biztonsági szakemberek berkein belül korántsem ismeretlen. Korábban már olyan alkalmazások kapcsán is tárt fel súlyos sebezhetőségeket, mint amilyen például a Cisco WebEx, az AVG Web TuneUp és az Adobe Acrobat/Reader. 

A szakember az elmúlt napokban úgy határozott, hogy a LastPass háza táján is szétnéz, és különösen a jelszókezelőhöz készített böngészőkiegészítőket veszi alaposabban is szemügyre. A vizsgálatai hasznosnak bizonyultak, ugyanis több biztonsági résről is lehullt a lepel. 

Az első sebezhetőség a Firefox bővítmény esetében tűnt fel a kutatónak. Rájött arra, hogy a kiegészítőn keresztül bizalmas adatokhoz való jogosulatlan hozzáférésre is lehetőség nyílhat. A felfedezéséről rögtön értesítette a LastPass illetékeseit, akik hamar visszajeleztek, hogy fogadták a bejelentést, és már dolgoznak is a javításon. 

Kedden pedig Ormandy egy újabb sérülékenységre is figyelmes lett, de ez már nem kizárólag a Firefox bővítmény kapcsán jelentett kockázatot, mivel a Chrome-hoz készült kiegészítő is problémásnak bizonyult. A biztonsági hiba jelszólopásra adott módot, sőt bizonyos körülmények között jogosulatlan parancsvégrehajtást is lehetővé tehetett (RPC-n keresztül). A szakember természetesen erről a hibáról is beszámolt a LastPass-nak, amely 1-2 órán belül bevezetett egy átmeneti, kockázatcsökkentő intézkedést, majd elkészítette a végleges patch-et. Ezt szerveroldalon alkalmazta, és közölte, hogy a felhasználóknak nincs semmi teendőjük. Persze azért arra érdemes figyelni, hogy a böngészőkben mindig a legújabb verziójú LastPass kiegészítők fussanak. 
Alig, hogy a LastPass mérnökei szusszanhattak egyet a gyors foltozgatás után, Ormandy további sebezhetőségek részleivel halmozta el őket. Azonban a biztonsági kutató ezúttal sem tudott kifogni a fejlesztőkön, akik szerdán jelezték, hogy további két biztonsági rést is megszüntettek. Ormandy pedig csodálatát fejezte ki a gyors reakció kapcsán, és elmondta, hogy bárcsak minden gyártó ilyen módon reagálna az etikus hackerek bejelentéseire. 
Az Ormandy és a LastPass közötti eszmecsere jelenleg leginkább a Twitteren követhető, de a cég ígéretet tett arra, hogy egy hosszabb blogbejegyzésben is beszámol majd a történtekről.