検出

4.1.21a より前の LastPass Firefox 拡張 4.0 におけるメッセージのハイジャック

high Nessus プラグイン ID 92660

Language:

概要

リモートホストにインストールされているパスワードマネージャーは、リモートメッセージハイジャックの脆弱性の影響を受けます。

説明

バージョンによると、リモート Windows ホストにインストールされている LastPass Firefox 拡張は、4.1.21a より前の 4.0.x です。このため、拡張と権限のある iframe の間で送信されるメッセージが不適切に検証されているため、メッセージハイジャックの脆弱性の影響を受けます。認証されていないリモートの攻撃者が、ユーザーを騙して、LastPass が修正した入力要素をクリックするようにプログラムが設定されている特別に細工された Web ページをロードさせることで、この問題を悪用し、LastPass 拡張を完全にコントロールする可能性があります。これには、ファイルの作成と削除、スクリプトの実行、パスワードの漏洩が含まれます。

ソリューション

LastPass Firefox 拡張バージョン 4.1.21a 以降にアップグレードしてください。

参考資料

https://bugs.chromium.org/p/project-zero/issues/detail?id=884

https://blog.lastpass.com/2016/07/lastpass-security-updates.html/

https://thehackernews.com/2016/07/lastpass-password-manager.html

プラグインの詳細

深刻度: High

ID: 92660

ファイル名: lastpass_4_1_21a_firefox_extension_message_hijacking.nasl

バージョン: 1.7

タイプ: local

エージェント: windows

ファミリー: Windows

公開日: 2016/8/1

更新日: 2018/11/15

サポートされているセンサー: Nessus Agent, Nessus

脆弱性情報

CPE: x-cpe:/a:lastpass:lastpass

必要な KB アイテム: Browser/Firefox/Extension

パッチ公開日: 2016/7/27

脆弱性公開日: 2016/7/27