por Contenidos
Uno de los gestores de contraseñas más populares LastPass enfrenta a problemas graves con sus extensiones de navegador, ya que se revelaron varias vulnerabilidades con el servicio durante la semana pasada y aún persisten.
La tecnología está en constante evolución y, aunque está destinada a mejorar nuestro estilo de vida, a veces puede llegar a ser perjudicial en caso de que se explotan ciertos errores, especialmente cuando se trata de un servicio como LastPass, que se encarga de proteger decenas de millones de contraseñas.
La semana pasada, el 20 de marzo, Tavis Ormandy, investigador del Proyecto Zero de Google, descubrió dos errores en las extensiones del navegador LastPass que hacían que los usuarios fueran vulnerables a la ejecución remota de código.
Las vulnerabilidades reveladas afectaron tanto los usuarios comerciales como los personales del servicio.
Se han revelado vulnerabilidades la semana pasada?
20 de marzo: Tavis Ormandy encuentra dos vulnerabilidades de ejecución de código remoto (RCE) que afectaban a las extensiones del navegador de LastPass, lo que posiblemente permitiría a un atacante robar contraseñas.
Vaya, nuevo error de LastPass que afecta 4.1.42 (Chrome y FF). RCE si utiliza el “componente binario”, de lo contrario puede robar pwds. Informe completo en camino. pic.twitter.com/y92vm3Ibxd
– Tavis Ormandy (@taviso) 20 de marzo de 2017
21 de marzo: LastPass reconoce el informe de Ormandi y confirma que existen las vulnerabilidades y que su equipo trabajará para solucionarlas.
Somos conscientes del informe de @taviso y nuestro equipo ha establecido una solución alternativa mientras trabajamos en una resolución. Estad atentos a las actualizaciones.
– LastPass (@LastPass) 21 de marzo de 2017
22 de marzo: la compañía anuncia que han lanzado nuevas versiones de las extensiones del navegador Chrome (v 1.4.43) y Firefox (v 4.1.36) con actualizaciones de seguridad en su sitio.
También mencionaron que no había datos comprometidos entre este periodo y que los usuarios no tengan que preocuparse de cambiar sus credenciales. Las últimas versiones de las extensiones del navegador Microsoft Edge y Opera se publicarán a la espera de la aprobación de la empresa.
25 de marzo: Tavis Ormandy descubre otra vulnerabilidad de la versión actualizada de la extensión del navegador Google Chrome (v 01.04.43). LastPass reconoce la vulnerabilidad en una actualización de su anuncio del 22 de marzo.
Ah-ha, he tenido una epifanía en la ducha esta mañana y me he dado cuenta de cómo obtener codeexec a LastPass 01/04/43. Informe completo y explotación en el camino. pic.twitter.com/vQn20D9VCy
– Tavis Ormandy (@taviso) 25 de marzo de 2017
27 de marzo: LastPass emitió un declaración“No estamos tratando activamente la vulnerabilidad. Este ataque es único y altamente sofisticado. No queremos revelar nada específico sobre la vulnerabilidad ni nuestra solución que pueda revelar nada a partes menos sofisticadas pero nefastas”.
Cómo mantenerse seguro?
Actualmente, LastPass ha confirmado que está trabajando para solucionar los problemas de seguridad con su servicio y pronto se puede esperar una solución completa. Mientras tanto, se recomienda a los usuarios de LastPass que hagan caso de las precauciones siguientes.
- Para proteger sus credenciales de inicio de sesión, se recomienda a los usuarios desactivar las extensiones del navegador mientras tanto y lanzar sitios web directamente desde LastPass Vault hasta que la empresa resuelva las vulnerabilidades.
- Active la autenticación de dos factores para todas las cuentas que ofrecen la opción, proporcionando a su cuenta una capa de seguridad adicional en caso de que un atacante explote la vulnerabilidad.
- Esté pendiente de los ataques de pesca. No haga clic en los enlaces de fuentes que no son de confianza (personas que no conoce)
Última actualización: 8 de febrero de 2018
El artículo anterior puede contener enlaces de afiliación que ayuden a ayudar a Noticias Móviles. Sin embargo, no afecta nuestra integridad editorial. El contenido se mantiene imparcial y auténtico.
(function(d,s,id){var js,fjs=d.getElementsByTagName(s)[0];if(d.getElementById(id))return;js=d.createElement(s);js.id=id;js.src=”https://connect.facebook.net/en_US/sdk.js#xfbml=1&version=v2.5&appId=1652915528311925″;fjs.parentNode.insertBefore(js,fjs);}(document,’script’,’facebook-jssdk’));
