Per la seconda volta in due settimane gli uomini di LastPass, l’app per la gestione delle password, sono al lavoro per rimediare ad una vulnerabilità molto seria che consentirebbe ai siti maligni di rubare le password degli utenti o infettarne il computer con malware.
Come già accaduto la scorsa settimana, il nuovo problema è stato scoperto e segnato al team di LastPass da Tavis Ormandy, un ricercatore che lavora con il team di Project Zero di Google.
Il ricercatore ha rivelato questa nuova vulnerabilità tramite un messaggio su Twitter, ma senza rivelarne i dettagli tecnici per impedire agli hacker di sfruttarlo.
Secondo Ormandy, la falla interessa l’ultima versione di LastPass, l’estensione per gestire le password per tutti i principali browser. Il ricercatore sostiene di aver trovato il problema sia su Windows che su Linux, ma è abbastanza sicuro che riguardi anche Mac.
Se sul PC è installata anche il componente binario dell’estensione, la vulnerabilità permette agli hacker di eseguire un codice maligno sul computer dell’utente quando questi visita un sito maligno. Se il componente non è presente, la falla può essere comunque sfruttata per rubare le password degli utenti.
A rendere ancora peggiori le cose, sembra che basti che LastPass sia installato per permettere agli hacker di sfruttare la vulnerabilità. Ormandy ha dichiarato su Twitter che l’attacco può essere portato a termine anche se l’utente non è connesso.
LastPass al lavoro per risolvere il problema
Gli sviluppatori di LastPass hanno dichiarato tramite un post sul loro blog
Siamo attivamente al lavoro per cercare di risolvere il problema. Non vogliamo rivelare nulla di specifico sulla vulnerabilità e su come siamo a lavoro per correggerla, per non rivelare nulla che potrebbe aiutare gli hacker a sfruttarla
LastPass consiglia ai suoi utenti di visitare i siti web per i quali sono memorizzate le password direttamente dal loro Password Vault utilizzando la funzionalità “Lancia“. La società, inoltre, consiglia di attivare l’autenticazione a due fattori per tutti i servizi online che offrono questa opzione e di stare attenti ad attacchi phishing e a link potenzialmente dannosi.
Secondo Ormandy, l’azienda avrà bisogno di un po’ di tempo per sistemare la vulnerabilità in quanto si tratta di un “grosso problema di architettura”.
