Phát hiện lỗ hổng bảo mật nghiêm trọng trong tiện ích mở rộng LastPass trên Chrome và Firefox

Chuyên gia bảo mật vừa phát hiện đến 3 lỗ hổng bảo mật cực nghiêm trọng có trong tiện ích mở rộng của dịch vụ lưu trữ mật khẩu phổ biến LastPass trên hai trình duyệt nổi tiếng Chrome và Firefox.

Năm ngoái, chuyên gia nghiên cứu bảo mật Tavis Ormandy từ nhóm Google Project Zero đã phát hiện ra một số vấn đề bảo mật nghiêm trọng trong dịch vụ quản lý mật khẩu nổi tiếng LastPass. Năm nay, ông tiếp tục tìm ra nhiều lỗ hổng mới từ ứng dụng này.

Tuần trước, Ormandy đã đề cập đến việc phát hiện một lỗ hổng bên trong tiện ích mở rộng trên trình duyệt Firefox . Ngay sau đó, ông tìm ra một lỗi ảnh hưởng cả hai trình duyệt Chrome và Firefox . Cuối cùng, ông phát hiện thêm một lỗ hổng bên thứ ba cho phép hacker đánh cắp mật khẩu từ bất cứ tên miền nào.

Lỗ hổng đầu tiên chưa được công bố cụ thể, bởi theo Ormandy, Mozilla cần thời gian để kiểm tra lại lỗi và ra bản cập nhật vá lỗi trước khi tung ra cho người dùng. Theo chia sẻ của Ormandy trên Twitter, lỗ hổng này có thể tiết lộ mật khẩu của người dùng, nhưng chưa thông báo cụ thể lỗi này có thể ảnh hưởng đến người dùng như thế nào.

Thông báo đã vá lỗi xong của LastPass

Lỗ hổng thứ hai có vẻ nghiêm trọng hơn vì khả năng đánh cắp mật khẩu người dùng của nó, hoặc nếu người dùng cài đặt tiện ích mở rộng này thì ứng dụng sẽ khởi chạy bất kỳ đoạn mã nào mà hacker yêu cầu. Theo phản hồi của LastPass thì lỗ hổng này đã được xử lý trong phiên bản cập nhật mới nhất. Để vá lỗ hổng này, người dùng nên cập nhật càng nhanh càng tốt.

Nội dung Twitter của Ormandy về lỗ hổng thứ hai

Lỗ hổng thứ ba mà Ormandy phát hiện có liên hệ đến phiên bản cũ của tiện ích này trên Firefox, nhưng may mắn là nhà cung cấp LastPass đã sửa thông qua bản cập nhật mới nhất. Hiện phiên bản mới nhất là phiên bản 3.3.6.

Lỗ hổng đã nhanh chóng được khắc phục

Đây không phải là lần đầu tiên LastPass gặp phải những vấn đề bảo mật nghiêm trọng như thế này. Trước đây, dịch vụ lưu trữ mật khẩu nổi tiếng này đã bị tấn công vào năm 2011 và tháng 6/2015.

Kaspersky Proguide khuyến cáo người dùng nên cập nhật phiên bản mới nhất của tiện ích mở rộng LastPass trên cả hai trình duyệt Chrome và Firefox để tiếp tục sử dụng. Nếu cảm thấy lo lắng về độ bảo mật của dịch vụ này trong tương lai, người dùng có thể cân nhắc vô hiệu hóa tiện ích mở rộng của LastPass và thay thế bằng một dịch vụ tương tự của nhà cung cấp đáng tin cậy hơn.