LastPass vá các lỗ hổng rò rỉ mật khẩu nghiêm trọng

16:16 | 31/03/2017 | DOANH NGHIỆP

Các nhà phát triển của trình quản lý mật khẩu phổ biến LastPass (công ty phát triển phần mềm bảo mật ở Hoa Kỳ) vừa đưa ra bản vá giải quyết một lỗ hổng nghiêm trọng có thể cho phép tin tặc đánh cắp mật khẩu người dùng hoặc thực thi mã độc hại trên máy tính của họ.

LastPass vá các lỗ hổng rò rỉ mật khẩu nghiêm trọng

Lỗ hổng do nhà nghiên cứu Tavis Ormandy của Google phát hiện và báo cáo cho LastPass từ ngày 20/3/2017. Lỗ hổng ảnh hưởng đến các tiện ích mở rộng trình duyệt được người dùng cài đặt cho Google Chrome, Mozilla Firefox và Microsoft Edge.

Theo một mô tả trong công cụ theo dõi lỗ hổng của Google Project Zero, lỗ hổng này có thể cho phép tin tặc truy cập vào các lệnh nội bộ bên trong tiện ích mở rộng LastPass. Đó là những lệnh được tiện ích mở rộng sử dụng để sao chép mật khẩu hoặc điền vào biểu mẫu web bằng cách sử dụng thông tin được lưu trữ trong kho an toàn của người dùng.

Nếu thành phần nhị phân của tiện ích được cài đặt, lệnh "openattach" (mở tệp tin đính kèm) có thể được sử dụng để chạy mã tùy ý trên máy tính, Ormandy cho biết trên công cụ theo dõi lỗ hổng.

Các nhà phát triển LastPass đã triển khai một giải pháp tạm thời trên máy chủ của hãng để ngăn chặn việc khai thác và lên kế hoạch vá lỗ hổng trong các phiên bản mới.

Ormandy đã báo cáo một lỗ hổng khác trong tiện ích mở rộng của Firefox, theo các nhà phát triển LastPass, có liên quan đến phiên bản đầu tiên. Lỗ hổng đó đã được khắc phục trong phiên bản mới của tiện ích mở rộng của Firefox, 4.1.36a, được phát hành ngày 22/3/2017.

Các nhà phát triển LastPass cho biết, họ không nhận thấy dấu hiệu các lỗ hổng được báo cáo đã bị khai thác trên thực tế; tuy nhiên, LastPass vẫn đang tiến hành rà soát kỹ lưỡng trong thời điểm này.

‹ › ×

Tin liên quan

Lỗ hổng trong các trình duyệt chính cho phép script của bên thứ 3 đánh cắp mật khẩu người dùng

14:00 | 12/01/2018

Các nhà nghiên cứu của trường Đại học Princeton (Hoa Kỳ) vừa phát hiện cách các công ty marketing lợi dụng một lỗ hổng đã tồn tại 11 năm trong trình quản lý mật khẩu dựng sẵn của các trình duyệt, để bí mật đánh cắp địa chỉ thư điện tử của người dùng. Lỗ hổng này cũng có thể bị lợi dụng để đánh cắp tên người dùng và mật khẩu từ các trình duyệt mà không cần sự tương tác của họ.

Những điều cần biết từ vụ lộ thông tin khách hàng của AI.type

14:00 | 25/12/2017

Khi tải và cài ứng dụng vào điện thoại thông minh, phần lớn người dùng không nhận ra các công ty phần mềm thu thập những dữ liệu gì về họ.

Rò rỉ dữ liệu tại TIO Networks của PayPal ảnh hưởng đến 1,6 triệu khách hàng

11:00 | 13/12/2017

Vào ngày 01/12/2017, công ty PayPal (Mỹ) đã thừa nhận một vi phạm dữ liệu trong quá trình xử lý các thanh toán gần đây của TIO Networks (công ty chuyên thanh toán các hóa đơn điện và cáp, được PayPal mua lại vào tháng 7/2017 với giá 238 triệu USD), gây ảnh hướng đến thông tin cá nhân của khoảng 1,6 triệu khách hàng.

Kho dữ liệu LastPass bị tấn công từ máy tính gia đình của kỹ sư DevOps

10:00 | 03/03/2023

Công ty phần mềm quản lý mật khẩu LastPass cho biết, máy tính cá nhân tại nhà của một trong bốn kỹ sư DevOps cấp cao của họ đã bị tin tặc tấn công và cài phần mềm độc hại theo dõi thao tác bàn phím nhằm lấy cắp dữ liệu của công ty từ tài nguyên lưu trữ đám mây.

Tin cùng chuyên mục

Microsoft thành lập trung tâm trí tuệ nhân tạo

17:00 | 12/04/2024

Ngày 8/4, tập đoàn công nghệ Microsoft của Mỹ công bố kế hoạch thành lập một trung tâm trí tuệ nhân tạo mới (AI) tại thủ đô London của Anh. Trung tâm AI của Microsoft sẽ hoạt động dưới sự dẫn dắt của ông Mustafa Suleyman - nhà đồng sáng lập Google DeepMind và là người mới được Microsoft thuê vào tháng trước.

Nagios phát hành bản vá cho công cụ giám sát Nagios XI

08:00 | 12/03/2024

Hai lỗ hổng lần lượt có mã định danh CVE-2024-24401 và CVE-2024-24402 được tìm thấy trong Nagios XI - một công cụ giám sát hạ tầng mạng trong doanh nghiệp. Đáng lưu ý, cả hai lỗ hổng đều chưa có điểm CVSS.

Những tính năng mới của bản cập nhật Windows 11 'Moment 5'

16:00 | 08/03/2024

Microsoft đã phát hành bản cập nhật Windows 11 'Moment 5' cho các phiên bản 23H2 và 22H2, bắt đầu triển khai các tính năng mới, chẳng hạn như các plugin và kỹ năng Windows Copilot, truy cập bằng giọng nói, các cải tiến AI cho ClipChamp và Photos và trình tường thuật.

Cảnh báo 9 lỗ hổng an toàn thông tin nghiêm trọng trong các sản phẩm Microsoft

08:00 | 06/03/2024

Cục An toàn thông tin (Bộ Thông tin và Truyền thông) vừa phát cảnh báo về các lỗ hổng an toàn thông tin trong các sản phẩm của Microsoft có ảnh hưởng mức cao và nghiêm trọng.