Ditemukan lagi celah keamanan pada aplikasi password manager LastPass

Tarvis Ormandy, seorang anggota Project Zero dari Google, menemukan beberapa celah keamanan pada aplikasi password manager populer, LastPass. Tarvis mengatakan bahwa extension LastPass  pada Google Chrome dan Mozilla Firefox memiliki sebuah script yang dapat dimanfaatkan oleh para hacker untuk mengambil informasi username dan password.

Hanya dengan mengunjungi sebuah situs yang sudah memiliki script tertentu, maka seluruh informasi pengguna LastPass dapat diperoleh. Terlebih lagi, melalui celah ini, Tarvis juga menunjukkan bahwa ia dapat menjalankan program pada komputer korbannya dari jarak jauh. Hal ini terbilang sangat berbahaya karena hacker jahat dapat menaruh aplikasi malware pada komputer korbannya hanya dengan mengarahkannya ke situs situs tertentu.

Sebagai contoh, Tarvis hanya perlu membuat dua baris kode JavaScript di bawah ini untuk membuka celah keamanan pada extensions LastPass:

win = window.open("https://1min-ui-prod.service.lastpass.com/");
win.postMessage({}, "*");

Tarvis sudah menginformasikan hal ini kepada pembuat LastPass, dan LastPass pun kemudian menyatakan bahwa bugs ini sudah diperbaiki pada extensions versi terbaru. Jika pembaca merupakan pengguna aplikasi LastPass yang memanfaatkan extensions pada browser, segera update aplikasi nya dengan versi 4.1.36 pada Firefox, 4.1.43.82 pada Chrome, 4.1.30 pada Edge, dan 4.1.28 pada Opera.

(sumber: The Register)

Iklan

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout /  Ubah )

Foto Google+

You are commenting using your Google+ account. Logout /  Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout /  Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout /  Ubah )

w

Connecting to %s