Se utilizzate LastPass per gestire le vostre password con i browser Opera e Chrome, effettuate l'aggiornamento all'ultima versione il prima possibile: la scorsa settimana infatti il team di sviluppatori ha corretto un importante bug di sicurezza che esponeva a un potenziale rischio tutti gli utenti che usano il plug-in. Il software è stato prontamente patchato già la scorsa settimana, ma i dettagli sono stati resi noti solo nelle scorse ore. Per mettersi al sicuro da qualsiasi rischio è dunque bene aggiornare LastPass alla versione 4.33.00.
Il bug è stato scoperto il mese scorso da Tavis Ormandy, un ricercatore di sicurezza di Project Zero, il programma di Google che va a caccia di bug. Come da prassi poi il team ha segnalato privatamente il bug allo sviluppatore, che ha poi 90 giorni di tempo per pubblicare una patch. Dopo questo lasso di tempo senza risoluzione, i dettagli sulla vulnerabilità vengono divulgati pubblicamente, in ottemperanza ai dettami della cosiddetta "responsible disclosure", che prevede di informare direttamente il pubblico affinché adotti le necessarie contromisure per evitare attacchi, nel caso in cui gli sviluppatori non vogliano o non possano risolvere il problema velocemente.
Project Zero ha classificato il bug come pericoloso e potenzialmente sfruttabile, dal momento che si basa esclusivamente sull'esecuzione di codice JavaScript dannoso, senza necessitare di particolari interazioni da parte dell'utente.
Se sfruttato, gli aggressori potrebbero dirottare gli utenti su pagine dannose e sfruttare la vulnerabilità per estrarre le credenziali che gli utenti avevano inserito sull'ultimo sito visitato. È bene comunque chiarire che il bug riguardava unicamente i browser Opera e Chrome e che i ricercatori non hanno ragioni di pensare che la vulnerabilità sia stata effettivamente sfruttata prima della correzione.
Non fatevi però spaventare: i bug sono spesso presenti in ogni tipo di software e non rappresentano quindi una ragione sufficiente per abbandonare i password manager, che restano invece sempre la soluzione di sicurezza migliore per la gestione delle proprie password. Mentre queste ultime sono infatti facilmente estraibili dai semplici browser, nei software come LastPass sono cifrate e nemmeno il produttore può accedervi, come ha verificato quest'estate il dipartimento antidroga statunitense (DEA), che aveva chiesto proprio a LastPass di fornirgli accesso alle password del browser sul PC di un sospettato.
