Skip to main content

Fallos de seguridad en LastPass ponían las contraseñas en peligro

fallos de seguridad en lastpass

22/03/2017 - 17:33

Tavis Ormandy, un investigador de Project Zero de Google, ha descubierto fallos de seguridad críticos en LastPass. La plataforma los ha solucionado rápidamente.

Tavis Ormandy, un investigador del programa Project Zero de Google, ha descubierto fallos de seguridad críticos en LastPass, la popular aplicación para almacenar y gestionar contraseñas. Después de recibir los informes, la plataforma ha solucionado los problemas rápidamente.

El año pasado, Ormandy ya reportó una vulnerabilidad presente en la extensión para Mozilla Firefox de la plataforma, que permitía a un atacante ejecutar acciones en la aplicación en segundo plano a espaldas del usuario. Ahora, el investigador ha vuelto a revisar LastPass y ha detectado nuevos errores que permitirían el robo de las contraseñas que custodia la herramienta. 

En distintos informes, Ormandy detalla que ha encontrado dos vulnerabilidades: una que afectaba a todos los clientes de LastPass (Google Chrome, Mozilla Firefox y Microsoft Edge), y otra más peligrosa que afecta a la versión 4.1.35 de la extensión para Firefox, que podría dejar expuestas todas las contraseñas de los usuarios.

Protege tu PC con los antivirus más vendidos de Amazon España

En su cuenta de Twitter, LastPass confirmó que el primer fallo de seguridad reportado había sido resuelto, y que muy pronto darían todos los detalles a los usuarios en su blog. Este exploit permitía un acceso completo a los comandos internos RPC, entre ellos algunos críticos, como la opción de copiar contraseñas o rellenar formularios con los credenciales de los usuarios.

El segundo bug era bastante más grave que el primero. El investigador señala en un tuit que el exploit afecta a la versión 4.1.35 de LastPass y asegura que cualquiera podría comprometer un sitio web porque "permite robar contraseñas desde cualquier dominio".

Así funcionan las apps para gestionar contraseñas

La aplicación de gestión de claves se ha dado prisa en subsanar también este segundo error, y Ormandy ha aplaudido su celeridad a la hora de atender los reportes. La vulnerabilidad ha sido resuelta en la versión 4.1.36a. En esta entrada de su blog oficial, LastPass proporciona información detallada sobre estos dos problemas de seguridad, y señala que no tienen indicios para pensar que los bugs hayan sido explotados por atacantes.

[Fuente: ZDNet]

Ver ahora: