LastPassのツールに、ユーザーに悪質なWebサイトを閲覧させるだけで攻撃者がアカウントを制御できてしまう脆弱性が発見された。
パスワード一元管理サービスのLastPassは7月27日、ユーザーに悪質なWebサイトを閲覧させるだけで攻撃者がアカウントを制御できてしまう脆弱性が報告され、アップデートを配信して対処したことを明らかにした。
同社によると、この脆弱性はLastPassのFirefoxアドオンに存在していて、Googleのセキュリティ研究者テイビス・オーマンディ氏から26日に報告を受けた。
フィッシング詐欺などを通じてユーザーが悪質なWebサイトを閲覧すれば、攻撃者がそのユーザーに気付かれないままLastPassの動作を実行し、アイテムを削除するといったことができてしまう状態だったという。
LastPassはバージョン4.0を使っている全Firefoxユーザー向けに、この問題を修正した更新版のバージョン4.1.21aをプッシュ配信した。一方、バージョン3.0や、Firefox以外のWebブラウザは、この問題の影響は受けないとしている。
同社は1年ほど前に、別のセキュリティ研究者から今回と同様の脆弱性を指摘され、その時点で対処していたことも明らかにした。この研究者、マシアス・カールソン氏は27日のブログで、この脆弱性に関する詳しい内容を公表している。
Copyright © ITmedia, Inc. All Rights Reserved.