Travis Ormandy, un investigador de seguridad, ha descubierto un par de fallas de seguridad que afectan a las extensiones del servicio LastPass para navegadores web: uno de ellos afecta a la extensión de Firefox –con número de versión 3.2.2 –, y otro que afecta tanto al navegador de Mozilla como a Google Chrome, lo cual, de acuerdo a sus propias palabras, permitiría “robar contraseñas de cualquier dominio”.
De la primera falla no se ha hablado mucho, pero parece que la extensión de LastPass para Firefox — la cual ya ha sido retirada — podría revelar las contraseñas almacenadas. Sin embargo, la segunda falla es la más seria, ya que no solo permite robar las contraseñas del usuario, sino que además permitiría ejecutar código malicioso si el atacante lo desea.
Si bien LastPass menciona que esta última vulnerabilidad ya ha sido eliminada, Ormandy alerta que en una de las versiones más recientes de la extensión, con número de versión 4.1.35, todavía la tiene. De igual forma si se instala la versión 4.1.42 con componente binario, también se expone al robo de contraseñas; cabe señalar que es la versión más reciente lanzada por la empresa.
No es la primera vez que Travis y LastPass se encuentran, ya que el año pasado descubrió varias fallas de seguridad “obvias” en el servicio. Cabe añadir que el investigador es parte del Project Zero de Google.
Fuente: Engadget.