Chrome ve Firefox, LastPass’daki Bir Açık Nedeniyle Tehdit Altında!

YAZILIM 01 Nisan 2017 - 12:53 670 KEZ OKUNDU 0 YORUM YAPILDI

Chrome ve Firefox, LastPass’daki Bir Açık Nedeniyle Tehdit Altında!

LastPass’ın Chrome ve Firefox tarayıcıları ile çalışan eklentisinin, hackerların önünü açan ve kişisel bilgilerimizin kolayca ele geçirilmesini sağlayan bir “bug”a maruz kaldığı bildirildi.

Her iki hata da Google’ın Project Zero için çalışan bir güvenlik araştırmacısı olan Travis Ormandy tarafından keşfedildi. Ormandy’nin keşfettiği buglar arasından LastPass mühendisleri, şimdilik sadece Chrome sürümü için bir yama yayınladı. Firefox sürümünü etkileyen sorun ise araştırılıyor.

LastPass Chrome uzantısını etkileyen güvenlik açığı, kullanıcının tarayıcıları ve şirketin kullanıcı şifrelerini depoladığı bulut hizmeti arasında duran bir aracı JS komut dosyasından kaynaklanıyor. Ormandy, “Hata nedeniyle LastPass 4.1.42’ye güvenilmeyen mesajlar tanımlamak ve web sitelerinin ayrıcalıklı RPC’lere (Uzaktan Yordam Çağrıları) erişmek mümkün.” ifadelerini kullanıyor. Ormandy buna ek olarak “LastPass uzantısı üstünde tam kontrolü sağlayan, şifreleri çalmak da dahil olmak üzere pek çok işlem yapabilen RPC’ler var. İkili bileşen mimarisi kurulu ise, bu bile rastgele kod çalıştırılmasına izin verir.” açıklamasında bulunuyor.

.

LastPass kullanıcıları vektörlere yönelik saldırılara maruz kalır; zira saldırganlar gerekli kodu bir web sitesinde düzenli bir JS komut dosyası olarak barındırabilirler. LastPass yöneticileri, Ormandy’nin Chrome eklentisinde bildirdiği sorunu giderdiklerini ve sonraki günlerde daha fazla ayrıntı içeren bir açıklamada bulunacaklarını duyurdu.

LastPass Firefox kısmı ise daha vahim durumda. Bug, Firefox eklenti sürümü 3.3.2’yi etkiliyor. LastPass, Ormandy’ye 3.3.2 sürümünün en popüler versiyon olduğunu belirtti. Ormandy, bu açığın nasıl işlediği konusunda bilgi vermedi. Sadece, saldırganların kullanıcıları kötü amaçlı bir web sitesine çeken web tabanlı bir sızıntısı kullanarak, LastPass şifre tabanından kullanıcı kimlik bilgilerini çalabileceğini belirtti. Araştırmacı konunun çözülmediğini doğruladı. LastPass, bu güvenlik açığını giderdikten sonra ayrıntılı bir rapor yayınlanacak.


tadmin
admin@thewp.com.tr

BU KONULAR DA İLGİNİZİ ÇEKEBİLİR

Google, ‘Android O’ İçin Sony’e Teşekkürlerini Sundu!

Google'ın, şirketin yeni Android sürümlerine katkıda bulunan ve yeni özellikler eklemesine yardımcı olan pe...

Apple, Ünlü Otomasyon Yazılımcısı Workflow’u Satın Aldı!

Apple, çoğu eleştirmenden tam not alan, başarılı ve popüler otomasyon uygulaması Workflow'u satın aldı. Anl...

Yeni Akıllı Telefon Aksesuarı Yepyeni Bir Görüntüleme Mimarisi Sunuyor!

Akıllı telefon içeriğini bazen daha büyük bir mimariye aktarmak isteyebilirsiniz. Artık sizin için yeni bir...

Google’dan Yeni Fotoğraf Uygulaması Geliyor

Google, TechCrunch'ın haberine göre, kullanıcıların fotoğraflarını küçük gruplar halinde düzenleyip paylaşm...

BU MAKALEYE YORUM YAP

BU YAZIYA YORUM YAP