人気のあるLastPassパスワードマネージャの開発者は、2週間後に2度目となる、悪意のあるWebサイトがユーザーパスワードを盗んだり、コンピュータにマルウェアを感染させたりする重大な脆弱性を修正しようとしています。
先週修正されたLastPassの脆弱箇所のように、新しい問題が発見され、GoogleのProject Zeroチームの研究者Tavis OrmandyがLastPassに報告した。この研究者は、この脆弱性がTwitter上のメッセージに存在することを明らかにしましたが、攻撃者がその脆弱性を悪用する可能性のある技術的な詳細は公開していませんでした。
Ormandyによると、この脆弱箇所は、すべての主要なブラウザのLastPassブラウザ拡張の最新バージョンに影響を与えます。彼は、WindowsとLinux上でこのエクスプロイトを正常にテストしたと主張していますが、Macでもうまく機能すると考えています。
拡張機能のバイナリコンポーネントもインストールされている場合、攻撃者は不正なWebサイトにアクセスしたときに悪意のあるコードをユーザーのコンピュータで実行する可能性があります。コンポーネントが存在しない場合でも、ユーザーの安全なパスワード保管庫からパスワードを抽出するためにこの脆弱箇所を引き続き使用できます。
状況を悪化させるためには、ブラウザ上での拡張機能の存在が、このを脆弱箇所を悪用するのに十分であると思われます。 Ormandy氏はTwitterで、ユーザーがログアウトしても攻撃は引き続き機能すると述べている。
ログインしているセッションがなければ、パスワードボールトは暗号化されたままでウェブサイトにアクセスできないため、リモートコード実行攻撃の場合にのみ当てはまります。
LastPassの開発者は月曜日、ブログの記事で「脆弱性に積極的に取り組んでいる」と述べた。 「この攻撃は独特で高度に洗練されているため、脆弱性に関する具体的な情報や、それほど洗練されていない悪意のある当事者に何かを明らかにする可能性のある修正内容は開示したくない」
LastPassは、「起動」機能を使用して、ユーザーがパスワードを保存したWebサイトをパスワード保管場所から直接起動することを推奨しています。同社はまた、このオプションを提供するオンラインサービスの二要素認証をオンにし、フィッシング攻撃や潜在的な悪意のあるリンクに注意するようユーザーに勧告する。
