LastPass vá các lỗ hổng rò rỉ mật khẩu nghiêm trọng

16:16 | 31/03/2017 | DOANH NGHIỆP

Các nhà phát triển của trình quản lý mật khẩu phổ biến LastPass (công ty phát triển phần mềm bảo mật ở Hoa Kỳ) vừa đưa ra bản vá giải quyết một lỗ hổng nghiêm trọng có thể cho phép tin tặc đánh cắp mật khẩu người dùng hoặc thực thi mã độc hại trên máy tính của họ.

LastPass vá các lỗ hổng rò rỉ mật khẩu nghiêm trọng

Lỗ hổng do nhà nghiên cứu Tavis Ormandy của Google phát hiện và báo cáo cho LastPass từ ngày 20/3/2017. Lỗ hổng ảnh hưởng đến các tiện ích mở rộng trình duyệt được người dùng cài đặt cho Google Chrome, Mozilla Firefox và Microsoft Edge.

Theo một mô tả trong công cụ theo dõi lỗ hổng của Google Project Zero, lỗ hổng này có thể cho phép tin tặc truy cập vào các lệnh nội bộ bên trong tiện ích mở rộng LastPass. Đó là những lệnh được tiện ích mở rộng sử dụng để sao chép mật khẩu hoặc điền vào biểu mẫu web bằng cách sử dụng thông tin được lưu trữ trong kho an toàn của người dùng.

Nếu thành phần nhị phân của tiện ích được cài đặt, lệnh "openattach" (mở tệp tin đính kèm) có thể được sử dụng để chạy mã tùy ý trên máy tính, Ormandy cho biết trên công cụ theo dõi lỗ hổng.

Các nhà phát triển LastPass đã triển khai một giải pháp tạm thời trên máy chủ của hãng để ngăn chặn việc khai thác và lên kế hoạch vá lỗ hổng trong các phiên bản mới.

Ormandy đã báo cáo một lỗ hổng khác trong tiện ích mở rộng của Firefox, theo các nhà phát triển LastPass, có liên quan đến phiên bản đầu tiên. Lỗ hổng đó đã được khắc phục trong phiên bản mới của tiện ích mở rộng của Firefox, 4.1.36a, được phát hành ngày 22/3/2017.

Các nhà phát triển LastPass cho biết, họ không nhận thấy dấu hiệu các lỗ hổng được báo cáo đã bị khai thác trên thực tế; tuy nhiên, LastPass vẫn đang tiến hành rà soát kỹ lưỡng trong thời điểm này.

‹ › ×

Tin liên quan

Lỗ hổng trong các trình duyệt chính cho phép script của bên thứ 3 đánh cắp mật khẩu người dùng

14:00 | 12/01/2018

Các nhà nghiên cứu của trường Đại học Princeton (Hoa Kỳ) vừa phát hiện cách các công ty marketing lợi dụng một lỗ hổng đã tồn tại 11 năm trong trình quản lý mật khẩu dựng sẵn của các trình duyệt, để bí mật đánh cắp địa chỉ thư điện tử của người dùng. Lỗ hổng này cũng có thể bị lợi dụng để đánh cắp tên người dùng và mật khẩu từ các trình duyệt mà không cần sự tương tác của họ.

Những điều cần biết từ vụ lộ thông tin khách hàng của AI.type

14:00 | 25/12/2017

Khi tải và cài ứng dụng vào điện thoại thông minh, phần lớn người dùng không nhận ra các công ty phần mềm thu thập những dữ liệu gì về họ.

Rò rỉ dữ liệu tại TIO Networks của PayPal ảnh hưởng đến 1,6 triệu khách hàng

11:00 | 13/12/2017

Vào ngày 01/12/2017, công ty PayPal (Mỹ) đã thừa nhận một vi phạm dữ liệu trong quá trình xử lý các thanh toán gần đây của TIO Networks (công ty chuyên thanh toán các hóa đơn điện và cáp, được PayPal mua lại vào tháng 7/2017 với giá 238 triệu USD), gây ảnh hướng đến thông tin cá nhân của khoảng 1,6 triệu khách hàng.

Kho dữ liệu LastPass bị tấn công từ máy tính gia đình của kỹ sư DevOps

10:00 | 03/03/2023

Công ty phần mềm quản lý mật khẩu LastPass cho biết, máy tính cá nhân tại nhà của một trong bốn kỹ sư DevOps cấp cao của họ đã bị tin tặc tấn công và cài phần mềm độc hại theo dõi thao tác bàn phím nhằm lấy cắp dữ liệu của công ty từ tài nguyên lưu trữ đám mây.

Tin cùng chuyên mục

Bí quyết kiểm tra an toàn không gian mạng và chống lại các cuộc tấn công ransomware cho các doanh nghiệp

13:00 | 04/08/2023

Dựa trên thông tin thực tế thống kê từ các cuộc tấn công bằng mã độc tống tiền điển hình, Fortinet - một trong những công ty hàng đầu thế giới về các giải pháp an ninh mạng đã đưa ra gợi ý các biện pháp tốt nhất giúp đảm bảo an toàn trên không gian mạng cho cá nhân và doanh nghiệp.

Tính năng mới của Mozilla giúp bảo vệ người dùng

09:00 | 13/07/2023

Vừa qua, Mozilla đã thông báo đến người dùng rằng một số tiện ích bổ sung có thể bị chặn trên một số trang nhất định như một phần của tính năng mới có tên Miền cách ly (Quarantined Domains).

Ứng dụng gửi dữ liệu SHAREit của Trung Quốc đạt hơn 2 tỷ lượt tải xuống

10:00 | 02/06/2023

SHAREit là ứng dụng của Trung Quốc, có tính năng hết sức đơn giản: Gửi dữ liệu từ máy này sang máy khác mà không cần kết nối Internet.

Trình duyệt Edge của Microsoft làm rò rỉ dữ liệu người dùng tới Bing

07:00 | 17/05/2023

Người dùng cần phải suy nghĩ kỹ trước khi nhập bất kỳ thứ gì vào trình duyệt Edge của Microsoft, vì một lỗi rõ ràng trong bản phát hành gần đây trình duyệt này dường như đang chuyển các URL mà người dùng truy cập trở lại API Bing.