Es muy probable que nuestro título te cause un ‘déjà vu‘ ahora mismo, y es normal que lo tengas. La semana pasada hablamos sobre una serie de fallas encontradas en la extensión de LastPass, el gestor de contraseñas. Dicha falla permitía a cualquier atacante, acceder a las cuentas almacenadas en la nube y extraer las contraseñas que estén almacenadas. LastPass aseguró haber corregido los errores y lo hizo en tiempo récord, sin embargo, Tavis Ormandy de Google volvió el fin de semana con un nuevo informe que revela una nueva vulnerabilidad en la extensión del gestor de contraseñas.
Ah-ha, I had an epiphany in the shower this morning and realized how to get codeexec in LastPass 4.1.43. Full report and exploit on the way. pic.twitter.com/vQn20D9VCy
— Tavis Ormandy (@taviso) March 25, 2017
El informe detallado por Tavis Ormandy describe una vulnerabilidad calificada como un ‘problema de arquitectura importante‘. Ormandy ha dicho que corregir este error podría llevar mucho tiempo, pero que según las políticas del Project Zero Team de Google, LastPass tiene 90 días para corregirla antes de de que haga público los detalles.
Por su parte, LastPass ha emitido un comunicado en el que expresa estar trabajando arduamente para corregir esta vulnerabilidad. Advierten además, que los usuarios deberían tomar medidas extra para asegurar la seguridad de sus cuentas, entre estas la activación de la verificación en dos pasos, usar el LastPass Vault para acceder a los sitios que requieran acceso, en lugar de la extensión y cuidarse de las técnicas de de Phishing.
Esta nueva vulnerabilidad afecta al parecer, únicamente a la extensión para Google Chrome, pero recomendamos en todo caso, eliminar la extensión la extensión de forma momentánea en cualquier navegador. Si quieren seguir utilizando LastPass, lo mejor es acceder a través de la app de escritorio. Si deciden cambiar de gestor de contraseñas, siempre hay opciones como Dashlane o 1Password.