Il bug di LastPass
Il gestore di password LastPass ha rilasciato un aggiornamento la scorsa settimana per correggere un bug di sicurezza che esponeva le credenziali immesse in un sito precedentemente visitato.
LastPass, ritenuta l’app per la gestione delle password più popolare, ha risolto il problema con la versione 4.33.0, rilasciata il 12 settembre della scorsa settimana.
Se gli utenti non hanno abilitato un meccanismo di aggiornamento automatico per le estensioni del browser o le app mobili di LastPass, si consiglia di eseguire un aggiornamento manuale il prima possibile.
Ieri Ormandy del Progetto Zero di Google ha pubblicato i dettagli sul difetto di sicurezza che ha riscontrato.
Poiché il bug si basa sull’esecuzione di codice JavaScript dannoso, senza altre interazioni dell’utente, il bug è considerato pericoloso e potenzialmente sfruttabile.
Gli aggressori potrebbero attirare gli utenti su pagine dannose e sfruttare la vulnerabilità per estrarre le credenziali immesse su siti precedentemente visitati.
Come qualsiasi altra applicazione, i gestori di password sono talvolta vulnerabili ai bug, che in ogni caso vengono eventualmente corretti.
Nonostante questa vulnerabilità, agli utenti viene comunque consigliato di fare affidamento su un gestore di password ogni volta che possono.
L’uso di un gestore di password come LastPass o 1password è mille volte meglio che lasciare le password archiviate all’interno di un browser, da dove possono essere facilmente estratte da un malware.
