Descubren graves vulnerabilidades en LastPass para Chrome y Firefox

Todas las ofertas del Black Friday en Amazon, PcC y eBay
1, 2, 3
Alejo I
Deus vult

Staff
23.879 mensajes
desde sep 2000
Editado 1 vez. Última: 23/03/2017 - 01:08:02 por .
Tavis Ormandy, uno de los investigadores del programa de detección de vulnerabilidades de Google Project Zero, ha descubierto varios problemas de gran calado en la seguridad del popular gestor de contraseñas LastPass. Inicialmente Ormandy encontró la semana pasada un fallo en la versión para Firefox, solo para dar más tarde con otra vulnerabilidad que afecta a ambos Chrome y Firefox, y una tercera sin detallar que permitiría "robar las contraseñas de cualquier dominio".

LastPass ha actualizado ya el gestor para atajar la situación. Según la compañía, no hay constancia de que ningún atacante haya utilizado estas debilidades para hacerse con los datos de acceso de sus usuarios. La más grande y peligrosa de estas deficiencias permite enviar comandos al componente binario de LastPass para ejecutar código de forma remota, según ha podido comprobar el hacker de sombrero blanco. Este fallo permite ejecutar aplicaciones instaladas en el ordenador del usuario (la prueba de concepto utiliza la calculadora de Windows) o inyectar malware con solo visitar un sitio web.

Las debilidades afectan a la extensión 4.1.42.80 para Chrome y 4.1.35a de Firefox. Según LastPass las actualizaciones ya están siendo enviadas a los usuarios, aunque no todo el mundo las ha recibido todavía. Desde el blog oficial de la compañía se señala que próximamente se publicará un informe técnico más detallado para aclarar lo sucedido.

Son numerosos los expertos en seguridad que recomiendan el uso de gestores de contraseñas con una clave maestra fuerte y algún factor de seguridad añadida como la autenticación de dos pasos, puesto que facilitan notablemente el uso de contraseñas complejas y altamente seguras frente al tan extendido uso de contraseñas fáciles de recordar y/o duplicadas. Con esto dicho, si hay un pecado especialmente grave que puede cometer una firma dedicada a proteger las claves de sus usuarios es exponerlas a filtraciones, así que LastPass va a tener que hacer un acto de contrición bastante serio si quiere mantener indemne la confianza del público.

Fuente: ZDNet
pipex55
!"#$%
3.155 mensajes
desde jul 2009
en North of South America
Hace poco pensé en utilizar este tipo de gestor de contraseñas pues últimamente con las claves para las tarjetas, bancos, foros, etc (mas que todo los bancos que obligan el cambio cada 6 meses), estoy abrumado con contraseñas y la he cagado en más de una ocasión. Menos mal no lo hice. [tomaaa]

Pero viendo como está el tema, voy a tener que empezar a hacer apuntes [+risas]
anikilador_imperial
Meijin Kawaguchi
15.756 mensajes
y 1 foto
desde jun 2008
en Cadiz.
Editado 1 vez. Última: 22/03/2017 - 20:58:25 por anikilador_imperial.
Y Opera vuelve a ganar XD

De todas formas no veo como se puede llevar un directorio de contraseñas de forma segura si no es con Lastpass o un derivado, ya sea local en tu propia máquina(desventaja, es más difícil acceder a tus contraseñas porque no están en una nube, están en tu PC, ventaja, más seguro) o remoto como este. Con el volumen de webs en las que estoy registrado no podría tener una contraseña segura para cada una, no me acordaría.
Edy
- El Cabroncete -
12.202 mensajes
desde dic 2002
en Palma de Mallorca
Editado 1 vez. Última: 22/03/2017 - 21:08:25 por Edy.
Cualquiera que "piense" que este tipo de programas realmente son seguros, entonces mal vamos. No hay peor cosa (como objetivo para Hackers) que conocer que alguien esta utilizando un software (posiblemente vulnerable) para acceder a TODAS sus contraseñas y sacarle lo que quieran de arriba a abajo. Por no mencionar que una empresa (no se cual ... hablamos de Apple? Google? no verdad?) haga una App para que tu le metas dentro tus contraseñas .... dios mio, es que solo pensarlo me entran escalofrios. Quien sabe que pueden hacer con esa info una vez recopilada ...
bartletrules
Finishing the fight
15.390 mensajes
desde abr 2007
Edy escribió:Cualquiera que "piense" que este tipo de programas realmente son seguros, entonces mal vamos. No hay peor cosa (como objetivo para Hackers) que conocer que alguien esta utilizando un software (posiblemente vulnerable) para acceder a TODAS sus contraseñas y sacarle lo que quieran de arriba a abajo. Por no mencionar que una empresa (no se cual ... hablamos de Apple? Google? no verdad?) haga una App para que tu le metas dentro tus contraseñas .... dios mio, es que solo pensarlo me entran escalofrios. Quien sabe que pueden hacer con esa info una vez recopilada ...


También hay soluciones opensource como KeePass para no depender de empresas concretas...
difusal
MegaAdicto!!!
1.988 mensajes
desde dic 2012
en Argentina
pipex55 escribió:Hace poco pensé en utilizar este tipo de gestor de contraseñas pues últimamente con las claves para las tarjetas, bancos, foros, etc (mas que todo los bancos que obligan el cambio cada 6 meses), estoy abrumado con contraseñas y la he cagado en más de una ocasión. Menos mal no lo hice. [tomaaa]

Pero viendo como está el tema, voy a tener que empezar a hacer apuntes [+risas]


Tienes Keepass que es open source y offline, osea se genera un archivo encriptado con todos los datos que tu le pongas dentro. Eso si, si pierdes el archivo lo pierdes todo, pero siempre puedes guardarlo en algún pendrive que nunca uses o algo así para tener un respaldo.
banderas20
LMFAO
9.880 mensajes
desde feb 2002
en Barcelona
Papel y boli :)
faSeS
OMFGWTFBBQ!!
2.010 mensajes
desde dic 2007
en Asturias
banderas20 escribió:Papel y boli :)


Mas seguro, probablemente si (depende de donde se guarden esas notas y quien tiene acceso a ellas)
Infinitamente menos practico y cómodo, eso garantizado.
rafaelkiz
Fußball ist Klasse
4.241 mensajes
desde ene 2011
Yo uso el cerebro como gestor de contraseñas xD, tengo bastantes correos y cada uno con una contraseña, lo mismo para los foros, twitter, etc... para eso tengo suerte la verdad.
Elkri
MegaAdicto!!!
1.343 mensajes
desde jul 2002
en Gaditano de pura cepa
Alejo I escribió:...Con esto dicho, si hay un pecado especialmente grave que puede cometer una firma dedicada a proteger las claves de sus usuarios es filtrarlas, así que LastPass va a tener que hacer un acto de contrición bastante serio si quiere mantener indemne la confianza del público.


A que se refiere eso de filtrarlas?
1, 2, 3