Yerel olarak depolanmış şifreler çalınabiliyor
Google Project Zero araştırmacısı Tavis Ormandy geçen yıl popüler şifre yöneticisi LastPass ’ta güvenlik problemlerini çabucak bulmuştu. Aynı şeyi yine yaptı. Ormandy geçen hafta eklentisinin bir Firefox versiyonunu etkileyen bir açık bulduğunu dile getirmişti. Daha sonra hem Chrome ve hem de Firefox’u etkileyen yeni bir açık daha bulduğunu dile getiren Ormandy son olarak herhangi bir alan adının şifrelerinin çalınmasını mümkün kılan üçüncü bir açık bulduğunu duyurdu.
İlk açık göründüğü kadarıyla henüz çözüme kavuşturulmamış. Ormandy Mozilla’nın güncellenen eklentiyi piyasaya sürmeden önce gözden geçirmesi için biraz beklemesinin iyi olacağını belirtmişti. Atmış olduğu tweetlere dayanarak yorum yapacak olursak bu açık, kullanıcı şifresinin açığa çıkmasına olanak sağlıyor, fakat konuyla ilgili tüm detaylar henüz açıklanmadı.
İkinci sorun daha ciddi olabilir. Zira bu açık, kullanıcının şifresini çalma imkanına sahip olmakla birlikte eğer eklentinin binary (çift) versiyonu da yüklenmişse saldırganın herhangi bir kodu çalıştırmasını sağlayabilecek nitelikte (Örneğin saldırgan hedef bilgisayarda hesap makinesini açabilir 🙂 ). LastPass’a göre sorun çözüldü fakat daha fazla detayı içeren aydınlatıcı bir blog yazısı henüz gönderilmedi.
https://twitter.com/taviso/status/844312124541186048
LastPass’ın son versiyon numarası (4.1.35) en güncel Internet Explorer eklentisi için yayınlanan güncelleme numarasıyla uyuşuyor fakat yapılan değişiklikler bölümünde son açığa çıkan zaafla ilgili herhangi bir bilgi verilmemiş.
Her ne kadar benzersiz şifreler üretmek için bir parola yöneticisi kullanmak sizi hacklenmeye karşı koruyacak olsa da, açığa çıkan zaafların sıklığıyla LastPass’tan gelen bilgi eksikliği cidden can sıkıcı. İlgili tarayıcı eklentilerini şimdilik devre dışı bırakmak daha akıllıca olabilir. Eğer önemli bağlantı bilgilerinizi depolamak için başka bir servis arıyorsanız, Tavis (güvenlik ürünlerinde açıkları karıştırmayı huy edinmiş) web siteleri ile bilgi deponuz arasında güvenlik katmanı oluşturmak için tarayıcı uzantılarını kullanmayan bir şifre yöneticisi olan ‘KeePass’ i tavsiye ediyor.
Oops, new LastPass bug that affects 4.1.42 (Chrome&FF). RCE if you use the "Binary Component", otherwise can steal pwds. Full report on way. pic.twitter.com/y92vm3Ibxd
— Tavis Ormandy (@taviso) March 20, 2017