A 2015 óta a LogMeIn tulajdonában lévő LastPass tegnap közleményben ismerte el, hogy a jelszókezelő Chrome-hoz készített 4.1.42-es verziószámú kiegészítőjében valóban van egy olyan biztonsági rés, mely egy támadó számára lehetővé teszi a távolról történő kódfuttatást, illetve adatlopást – a hibát a Google Project Zero hibavadászattal komoly hírnevet szerzett munkatársa, Tavis Ormandy jelezte a hétvégén. Részletesebb jelentést későbbre ígért.

[+]

A LastPass szakértője a rövid közleményben kitér arra, hogy különleges sebezhetőséggel van dolguk, vizsgálják, és hamarosan kiadnak egy hibajavítást – de ezen kívül semmilyen technikai részletet nem árul el. A felhasználóknak egyelőre általánosságban azt tanácsolják, hogy használják a LastPass Vault szolgáltatást az oldalak betöltéséhez, illetve ahol csak lehet, használjanak kétfaktoros azonosítást, valamint óvakodjanak az adathalász támadásoktól.

Ormandy egyébként rövid időn belül már másodszor „találta meg” a LastPasst, március 20-án azt jelentette be, hogy a szoftver korábbi verzióiban talált biztonsági réseket – erre akkor a vállalkozás gyorsan reagált, még aznap kijavították a hibákat.