Aggiornamenti recenti Aprile 26th, 2024 9:14 AM
Mar 29, 2017 Marco Schiaffino News, RSS, Vulnerabilità 0
Dopo le vulnerabilità individuate nelle estensioni per Chrome e Firefox, LastPass deve affrontare un altro bug che, a quanto pare, consentirebbe a un pirata informatico di impossessarsi delle credenziali di accesso ai servizi Internet memorizzate dagli utenti.
A individuare la falla di sicurezza sarebbe stato il solito Tavis Ormandy, il ricercatore del Project Zero di Google che nelle ultime settimane sembra avere concentrato tutta la sua attenzione sul password manager.
Stando a quanto riportato in un post sul blog di LastPass pubblicato lunedì, si tratterebbe di un “attacco unico e molto sofisticato”. E c’è da credergli: stando a quanto pubblicato su Twitter da Ormandy, il bug consentirebbe anche di avviare l’esecuzione di codice in remoto, aprendo così la strada all’uso di un exploit che consentirebbe di usare la falla per installare un malware sul computer.
Gli sviluppatori del password manager, però, evitano di addentrarsi in dettagli per non fornire indizi sulla natura del bug che potrebbero consentire di creare un exploit per “bucare” LastPass.
Ormandy, dal canto suo, l’exploit l’avrebbe già creato e ora si attende che la società che sviluppa il software renda disponibile una patch entro i canonici 90 giorni concessi dal Project Zero team prima di rendere pubblici i dettagli della vulnerabilità.
Un compito non semplice, visto che si tratterebbe di un problema che coinvolge la stessa architettura del software e, stando a quanto riporta lo stesso ricercatore di Google, non sarebbe di facile soluzione.
Dalle parti di LastPass, per il momento, si limitano a dare alcuni consigli ai loro utenti, tra cui quello di utilizzare l’estensione per aprire i siti a cui si vuole accedere usando le credenziali memorizzate e prestare la massima attenzione per non cadere vittima di email di phishing.
Considerato il tenore dei suggerimenti, è lecito pensare che il bug possa essere sfruttato in uno scenario in cui un pirata riesca ad attirare la sua vittima su un sito Web che contiene il codice in rado di sfruttare la vulnerabilità e rubare così le credenziali.
Apr 04, 2024 0
Feb 19, 2024 0
Feb 08, 2024 0
Gen 03, 2024 0
Apr 26, 2024 0
Apr 24, 2024 0
Apr 24, 2024 0
Apr 23, 2024 0
Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...Apr 15, 2024 0
Il 41% delle imprese italiane subisce mensilmente attacchi...Apr 12, 2024 0
In occasione del Privacy Tour 2024, l’iniziativa del...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Apr 26, 2024 0
I ricercatori di Avast hanno scoperto una nuova campagna...Apr 24, 2024 0
I ricercatori di Cisco Talos hanno scoperto una nuova...Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 23, 2024 0
In occasione dell’Italian Partner Conferencetenutasi...Apr 23, 2024 0
Un team di ricercatori ha sviluppato quello che ritengono...