Otro agujero en LastPass que puede que lleve semanas arreglarlo
Tavis Ormandy del proyecto Zero Day de Google parece que no va a dejar en paz a LastPass. Ya hemos informado de una serie de vulnerabilidades que Ormndy descubrió en el popular gestor de contraseñas durante las última semanas, alabando la velocidad en que la empresa las admitió y solucionó.
Durante el fin de semana, LastPass recibió otro correo electrónico de su némesis. Puedes imaginarte la cara de terror del equipo encargado de gestionar las vulnerabilidades cada vez que reciben un correo con su nombre, y parece que acertaban ya que esta vez todo apunta a que se trata de un fallo serio.
Ormandy tuiteó:
“Ja, ja, he tenido una epifanía esta mañana en la ducha y me di cuenta como realizar codeexec en LastPass 4.1.43. Toda la información sobre el exploit pronto”
Después añadió:
“El exploit está funcionando y he enviado un informe completo a LastPass. Es la hora de ponerse los pantalones”
Ormandy no ha dado muchos detalles sobre el problema, pero sabemos que se trata de un grave problema de arquitectura que puede tardar un tiempo en solucionarse.
Dado que la política del proyecto Zero Day es de revelar las vulnerabilidades 90 días después de informar, aún tardarán semanas para que sepamos con detalle en que consiste el problema.
La vulnerabilidad afecta a los usuarios de la versión 4.x en todos los navegadores y plataformas y puede hacer que un atacante acceda las contraseñas almacenadas en LastPass solo con que su víctima visite una web comprometida. El atacante también puede ejecutar código en ordenadores que tengan el componente binario de LastPass.
Si no te suena el componente binario de LastPass, este se usa en Chrome, Safari y Opera para activar ciertas características (IE y Firefox no lo necesitan). Para comprobar si se tiene instalado debemos de ir a “Más Opciones” y “Sobre LastPass”, si el componente binario aparece como “falso” entonces no está presente.
El consejo de LastPass es que accedamos a las webs desde el Vault en vez de utilizar la barra de herramientas o auto-completar. Según el escueto comunicado de la empresa, esta molesta opción puede ser la única manera segura de usar LastPass por el momento.
Además recomienda usar la autentificación de doble factor en las webs que lo permitan. Sinceramente eso es algo que todos deberíamos hacer.
Pese a que la semana pasada eramos optimistas por la manera en que LastPass había solucionado sus problemas de seguridad, estamos sorprendidos como Ormandy ha sido capaz de encontrar un agujero tan importante en un software que lleva nueve años funcionando.
LastPass ha prometido una completa investigación. No hace falta decir que los millones de usuarios de esta aplicación están deseosos de conocer los resultados.
Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación: