O LastPass é provavelmente o gestor de passwords mais usado da Internet. Presente em quase todos os sistemas, garante que os utilizadores não esquecem ou perdem uma palavra-passe.
Tal como qualquer outro sistema, também o LastPass está sujeito a falhas. Uma nova foi agora descoberta, estando a empresa já a trabalhar na sua resolução.
Os últimos tempos não têm sido pacíficos para o LastPass, no que toca à segurança. Foram várias as falhas descobertas e prontamente resolvidas, mostrando que este serviço está atento e que garante respostas rápidas.
Mas uma nova falha foi anunciada este fim de semana, por um elemento da equipa Project Zero da Google, que se dedica a avaliar e a procurar falhas nos sistemas e aplicações.
A falha em causa e a forma de ser explorada não foram reveladas, garantindo assim que não pode ser explorada por atacantes, comprometendo a segurança do próprio serviço.
Ah-ha, I had an epiphany in the shower this morning and realized how to get codeexec in LastPass 4.1.43. Full report and exploit on the way. pic.twitter.com/vQn20D9VCy
— Tavis Ormandy (@taviso) March 25, 2017
A LastPass já reagiu a esta nova falha
Assim que foi notificada da falha, a equipa de programadores do LastPass começou a tratar de encontrar uma forma de a resolver. A empresa já reconheceu o problema, numa publicação do seu blog.
This attack is unique and highly sophisticated. We don’t want to disclose anything specific about the vulnerability or our fix that could reveal anything to less sophisticated but nefarious parties. So you can expect a more detailed post mortem once this work is complete
Apesar de não existir ainda uma resolução, espera-se que dentro de dias surja uma atualização que a corrija e que resolva de uma vez por todas estes problemas.