Lire la suite sur Next INPactLastPass : nouvelle faille de sécurité, cette fois dans l'extension Chrome
Pas de mise à jour pour l'instant .
La faille détectée dans l’extension LastPass pour Firefox la semaine dernière a fait des petits. Le chercheur Tavis Ormandy, à l’origine de la découverte, a même détecté dans la dernière révision de l’extension Chrome une variante de la vulnérabilité. Il n’y a pour l’instant pas de mise à jour.
Rappel des faits. La semaine dernière, le chercheur Tavis Ormandy de chez Google découvrait une faille dans l’extension Firefox de LastPass. L’éditeur avait déjà très vite réagi, constatant le fonctionnement de la brèche, reconnaissant le danger et proposant une nouvelle version dans la foulée.
Au cours des 24 heures suivantes, LastPass a indiqué que les autres extensions étaient également concernées, puisque la faille était liée à des fonctions expérimentales présentes partout. La variante Chrome a donc été mise à jour dans la foulée, tandis que celles pour Opera et Edge sont toujours en attente.
Une faille « sophistiquée » dans l'extension Chrome
Dans un billet publié hier, LastPass avertit cependant qu’il y aura d’autres mises à jour à prévoir, au moins pour l’extension Chrome. Tavis Ormandy a en effet eu une « épiphanie » en prenant sa douche samedi : il a trouvé comment entrainer une exécution de code dans la version 4.1.43 de LastPass dans le navigateur de Google, la dernière version publiée en fin de semaine dernière, censée corriger la première faille.
Dans son billet de blog, LastPass indique que l’attaque qui exploiterait la nouvelle faille est « unique et hautement sophistiquée ». Ce qui explique l’absence presque totale d’informations, tant du côté de l’éditeur que de Tavis Ormandy. La moindre révélation d’un détail pourrait permettre à des individus mal intentionnés de découvrir la piste vers la faille, même pour des groupes moins sophistiqués.
@+