Lastpass logotyp
­

Sårbarhet i Lastpass webbläsartillägg

Tavis Ormandy, säkerhetsforskare i Googles Project Zero-grupp, har hittat en ny sårbarhet i lösenordshanteraren Lastpass webbläsartillägg för Google Chrome. Sårbarheten gjorde att en skadlig webbplats kunde komma åt det senaste lösenordet som Lastpass-tillägget hade fyllt i. Om en användare lät Lastpass fylla i sitt lösenord på exempelvis google.com och därefter gick till en skadlig webbplats, kunde den skadliga webbplatsen komma åt användarens Google-lösenord.

Ferenc Kun, Security Engineering Manager hos Lastpass, har publicerat en officiell kommentar. Han skriver bland annat att det inte räckte med att webbplatsen var skadlig för att sårbarheten skulle kunna utnyttjas. Användaren behövde också luras till att klicka på den skadliga sidan flera gånger för att det senast ifyllda lösenordet skulle läcka.

Lastpass har nu patchat sitt webbläsartillägg och Tavis har bekräftat att sårbarheten är åtgärdad. Webbläsartillägget uppdateras automatiskt, så vi slutanvändare behöver inte göra något.

Vi har genom åren sett flera exempel på säkerhetsrisker som uppstår på grund av lösenordshanterarnas webbläsartillägg. Trots detta rekommenderar vi fortfarande att använda webbläsartilläggen eftersom de samtidigt skyddar mot nätfiskeattacker. För normalanvändare väger alltså webbläsarintegrationens fördelar tyngre än dess nackdelar.

All mjukvara har sårbarheter och lösenordshanterare är inget undantag. Varenda gång någon har hittat sårbarheter i Lastpass lösenordshanterare har Lastpass-teamet varit snabba på att åtgärda problemet och de har varit transparenta i sin rapportering. Log me in (företaget bakom Lastpass) driver också ett så kallat Bug Bounty-program där säkerhetsforskare kan få betalt för att rapportera sårbarheter som de hittar. Den aktuella incidenten påverkar således inte vår rekommendation av Lastpass som lösenordshanterare.

Dela på facebook
Dela på Facebook
Dela på twitter
Dela på Twitter
Dela på linkedin
Dela på Linkedin
Dela på email
Tipsa via e-post

Kommentera

Man handlar med kort från datorn.

Podd #90: Tänk säkert med Polisen

Den här veckan gästar kriminalkommissarie Jan Olsson från Nationellt IT-brottscentrum Bli säker-podden för att berätta om kortbedrägerier på nätet.

Tänk säkert-logotypen på MSB-bakgrund

Podd #89: Tänk säkert med MSB

Veckans Bli säker-podd gästas av Marianne Rilde Björkman och Jan-Olof Olsson från MSB. De berättar om Tänk säkert-kampanjen och resultatet från undersökningen.