De ontwikkelaars van de populaire wachtwoordmanager LastPass hebben een ernstig beveiligingslek in de Firefox-versie gedicht waardoor een aanvaller volledige controle over de browser-extensie kon krijgen om vervolgens wachtwoorden te stelen, bestanden te verwijderen en script uit te voeren.
Het bezoeken van een kwaadaardige of gehackte website was voldoende, er was geen verdere interactie vereist. Een update om het probleem te verhelpen is onder alle kwetsbare gebruikers uitgerold, aldus LastPass in een blogposting. De kwetsbaarheid werd door Google-onderzoeker Tavis Ormandy ontdekt, die vandaag de details van het beveiligingslek openbaar maakte. In eerste instantie dacht Ormandy dat het probleem alle LastPass-versies betrof, maar het bleek alleen in de Firefox-extensie aanwezig te zijn.
De kwetsbaarheid werd zeer snel door LastPass verholpen. Ormandy kreeg vervolgens een beloning aangeboden voor het melden van het beveiligingslek, maar wees die af. Hij heeft LastPass gevraagd om het geld aan Amnesty International te doneren. Wel hekelt de Google-onderzoeker de uitleg van LastPass over het probleem in de blogposting. Daarin stelt LastPass dat phishing is vereist voor het uitvoeren van de aanval. De aanval vereist echter geen phishing, aldus Ormandy. "Ik ga ervan uit dat de blogposting is geschreven door iemand die niet bekend is met de term phishing."
Deze posting is gelocked. Reageren is niet meer mogelijk.