パスワード一元管理のFirefoxアドオンに脆弱性、アカウント制御される恐れ

LastPassのツールに、ユーザーに悪質なWebサイトを閲覧させるだけで攻撃者がアカウントを制御できてしまう脆弱性が発見された。

» 2016年07月28日 07時49分 公開
[鈴木聖子ITmedia]

 パスワード一元管理サービスのLastPassは7月27日、ユーザーに悪質なWebサイトを閲覧させるだけで攻撃者がアカウントを制御できてしまう脆弱性が報告され、アップデートを配信して対処したことを明らかにした。

 同社によると、この脆弱性はLastPassのFirefoxアドオンに存在していて、Googleのセキュリティ研究者テイビス・オーマンディ氏から26日に報告を受けた。

脆弱性を発見した研究者が報告

 フィッシング詐欺などを通じてユーザーが悪質なWebサイトを閲覧すれば、攻撃者がそのユーザーに気付かれないままLastPassの動作を実行し、アイテムを削除するといったことができてしまう状態だったという。

 LastPassはバージョン4.0を使っている全Firefoxユーザー向けに、この問題を修正した更新版のバージョン4.1.21aをプッシュ配信した。一方、バージョン3.0や、Firefox以外のWebブラウザは、この問題の影響は受けないとしている。

LastPassのFirefoxアドオン

 同社は1年ほど前に、別のセキュリティ研究者から今回と同様の脆弱性を指摘され、その時点で対処していたことも明らかにした。この研究者、マシアス・カールソン氏は27日のブログで、この脆弱性に関する詳しい内容を公表している。

Copyright © ITmedia, Inc. All Rights Reserved.