検出

4.1.21a より前の LastPass Firefox 拡張 4.0 におけるメッセージのハイジャック

high Nessus プラグイン ID 92660

Language:

概要

リモートホストにインストールされているパスワードマネージャーは、リモートメッセージハイジャックの脆弱性の影響を受けます。

説明

バージョンによると、リモート Windows ホストにインストールされている LastPass Firefox 拡張は、4.1.21a より前の 4.0.x です。このため、拡張と権限のある iframe の間で送信されるメッセージが不適切に検証されているため、メッセージハイジャックの脆弱性の影響を受けます。認証されていないリモートの攻撃者が、ユーザーを騙して、LastPass が修正した入力要素をクリックするようにプログラムが設定されている特別に細工された Web ページをロードさせることで、この問題を悪用し、LastPass 拡張を完全にコントロールする可能性があります。これには、ファイルの作成と削除、スクリプトの実行、パスワードの漏洩が含まれます。

ソリューション

LastPass Firefox 拡張バージョン 4.1.21a 以降にアップグレードしてください。

参考資料

https://bugs.chromium.org/p/project-zero/issues/detail?id=884

https://blog.lastpass.com/2016/07/lastpass-security-updates.html/

https://thehackernews.com/2016/07/lastpass-password-manager.html

プラグインの詳細

深刻度: High

ID: 92660

ファイル名: lastpass_4_1_21a_firefox_extension_message_hijacking.nasl

バージョン: 1.7

タイプ: local

エージェント: windows

ファミリー: Windows

公開日: 2016/8/1

更新日: 2018/11/15

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

CVSS v2

リスクファクター: High

基本値: 9.3

現状値: 6.9

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C

CVSS v3

リスクファクター: High

基本値: 8.8

現状値: 7.7

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: x-cpe:/a:lastpass:lastpass

必要な KB アイテム: Browser/Firefox/Extension

パッチ公開日: 2016/7/27

脆弱性公開日: 2016/7/27