Újra lecsapott a Google talán legszélesebb körben ismert biztonsági szakértője. A legutóbb a Chromium-alapú böngészők súlyos biztonsági problémáinak leleplezése miatt a figyelem középpontjába került Tavis Ormandy ezúttal a népszerű LastPass jelszókezelőt vizsgálta meg közelebbről, és állítása szerint nem kellett sokat keresgélnie, hogy több kritikus sebezhetőséget is felfedezzen.
A részletek egyelőre nem ismertek, azonban Ormandy minden bizonnyal a kliensoldalra fókuszált, azaz a böngészős beépülőt vizsgálta. Mostanra felvette a kapcsolatot a LastPass fejlesztőivel, azok pedig nekiálltak befoltozni a sérülékenységeket. Állítólag teljes értékű távoli betörésre is lehetőséget adtak a hibák.
Full report sent to LastPass, they're working on it now. Yes, it's a complete remote compromise. Yes, I promise I'll look at 1Password.
— Tavis Ormandy (@taviso) 2016. július 27.
Szerencsére a LastPass tradicionálisan jól kezeli az ilyen helyzeteket, így nem lepődnénk meg, ha néhány napon belül megérkeznének a frissített beépülők. Ettől függetlenül aggodalomra ad okot, hogy egy remek biztonsági szakember néhány óra leforgása alatt képes nyilvánvaló és kritikus hibákat fefedezni egy széles körben megbízhatónak tartott jelszókezelőben.
A móka ezzel nem ért véget, Ormandy ugyanis megígérte a rivális 1Password gyorsauditjának elvégzését is.
(Forrás: Ghacks)
