LastPass vá các lỗ hổng rò rỉ mật khẩu nghiêm trọng

16:16 | 31/03/2017 | DOANH NGHIỆP

Các nhà phát triển của trình quản lý mật khẩu phổ biến LastPass (công ty phát triển phần mềm bảo mật ở Hoa Kỳ) vừa đưa ra bản vá giải quyết một lỗ hổng nghiêm trọng có thể cho phép tin tặc đánh cắp mật khẩu người dùng hoặc thực thi mã độc hại trên máy tính của họ.

LastPass vá các lỗ hổng rò rỉ mật khẩu nghiêm trọng

Lỗ hổng do nhà nghiên cứu Tavis Ormandy của Google phát hiện và báo cáo cho LastPass từ ngày 20/3/2017. Lỗ hổng ảnh hưởng đến các tiện ích mở rộng trình duyệt được người dùng cài đặt cho Google Chrome, Mozilla Firefox và Microsoft Edge.

Theo một mô tả trong công cụ theo dõi lỗ hổng của Google Project Zero, lỗ hổng này có thể cho phép tin tặc truy cập vào các lệnh nội bộ bên trong tiện ích mở rộng LastPass. Đó là những lệnh được tiện ích mở rộng sử dụng để sao chép mật khẩu hoặc điền vào biểu mẫu web bằng cách sử dụng thông tin được lưu trữ trong kho an toàn của người dùng.

Nếu thành phần nhị phân của tiện ích được cài đặt, lệnh "openattach" (mở tệp tin đính kèm) có thể được sử dụng để chạy mã tùy ý trên máy tính, Ormandy cho biết trên công cụ theo dõi lỗ hổng.

Các nhà phát triển LastPass đã triển khai một giải pháp tạm thời trên máy chủ của hãng để ngăn chặn việc khai thác và lên kế hoạch vá lỗ hổng trong các phiên bản mới.

Ormandy đã báo cáo một lỗ hổng khác trong tiện ích mở rộng của Firefox, theo các nhà phát triển LastPass, có liên quan đến phiên bản đầu tiên. Lỗ hổng đó đã được khắc phục trong phiên bản mới của tiện ích mở rộng của Firefox, 4.1.36a, được phát hành ngày 22/3/2017.

Các nhà phát triển LastPass cho biết, họ không nhận thấy dấu hiệu các lỗ hổng được báo cáo đã bị khai thác trên thực tế; tuy nhiên, LastPass vẫn đang tiến hành rà soát kỹ lưỡng trong thời điểm này.

‹ › ×

Tin liên quan

Lỗ hổng trong các trình duyệt chính cho phép script của bên thứ 3 đánh cắp mật khẩu người dùng

14:00 | 12/01/2018

Các nhà nghiên cứu của trường Đại học Princeton (Hoa Kỳ) vừa phát hiện cách các công ty marketing lợi dụng một lỗ hổng đã tồn tại 11 năm trong trình quản lý mật khẩu dựng sẵn của các trình duyệt, để bí mật đánh cắp địa chỉ thư điện tử của người dùng. Lỗ hổng này cũng có thể bị lợi dụng để đánh cắp tên người dùng và mật khẩu từ các trình duyệt mà không cần sự tương tác của họ.

Những điều cần biết từ vụ lộ thông tin khách hàng của AI.type

14:00 | 25/12/2017

Khi tải và cài ứng dụng vào điện thoại thông minh, phần lớn người dùng không nhận ra các công ty phần mềm thu thập những dữ liệu gì về họ.

Rò rỉ dữ liệu tại TIO Networks của PayPal ảnh hưởng đến 1,6 triệu khách hàng

11:00 | 13/12/2017

Vào ngày 01/12/2017, công ty PayPal (Mỹ) đã thừa nhận một vi phạm dữ liệu trong quá trình xử lý các thanh toán gần đây của TIO Networks (công ty chuyên thanh toán các hóa đơn điện và cáp, được PayPal mua lại vào tháng 7/2017 với giá 238 triệu USD), gây ảnh hướng đến thông tin cá nhân của khoảng 1,6 triệu khách hàng.

Kho dữ liệu LastPass bị tấn công từ máy tính gia đình của kỹ sư DevOps

10:00 | 03/03/2023

Công ty phần mềm quản lý mật khẩu LastPass cho biết, máy tính cá nhân tại nhà của một trong bốn kỹ sư DevOps cấp cao của họ đã bị tin tặc tấn công và cài phần mềm độc hại theo dõi thao tác bàn phím nhằm lấy cắp dữ liệu của công ty từ tài nguyên lưu trữ đám mây.

Tin cùng chuyên mục

Cisco cảnh báo về các cuộc tấn công Brute Force quy mô lớn nhằm vào các dịch vụ VPN và SSH

10:00 | 26/04/2024

Cisco đã đưa ra cảnh báo về chiến dịch tấn công Brute Force quy mô lớn nhắm mục tiêu vào các dịch vụ VPN và SSH trên các thiết bị Cisco, CheckPoint, Fortinet, SonicWall và Ubiquiti trên toàn thế giới.

Phát hiện ứng dụng giả mạo nhằm đánh cắp tiền điện tử trên Apple App Store

13:00 | 05/04/2024

Các nhà phát triển ví tiền điện tử Leather cảnh báo về một ứng dụng giả mạo trên Apple App Store. Nguyên nhân bởi nhiều người dùng đã báo cáo rằng họ bị mất tiền sau khi nhập chuỗi bí mật vào ví Leather giả.

Microsoft phát hành bản vá 73 lỗ hổng, trong đó có 2 lỗ hổng zero-day

13:00 | 26/02/2024

Mới đây, Microsoft đã phát hành bản vá bảo mật hằng tháng (Patch Tuesday) của tháng 2/2024 để giải quyết 73 lỗ hổng, trong đó có 2 lỗ hổng zero-day đã bị khai thác tích cực trong thực tế.

Cloudflare bị tấn công mạng bởi các tin tặc do nhà nước bảo trợ

15:00 | 06/02/2024

Mới đây, công ty bảo mật web Cloudflare (Mỹ) tiết lộ rằng các tin tặc đã sử dụng thông tin đăng nhập bị đánh cắp trước đó để có quyền truy cập vào một số hệ thống nội bộ của hãng này.