LastPass のリモートコード実行の脆弱性
パスワードマネージャの LastPass が今朝、Chrome と Firefox のブラウザ拡張機能の 2 つの脆弱性を解決したと発表しました。Google のセキュリティ研究者である Travis Ormandy 氏が最初に報告したこの脆弱性により、攻撃者が被害者の LastPass ブラウザ拡張機能に任意のコマンドを送信できる可能性があります。この脆弱性が悪用されると、保存されたパスワードが不正取得されたり、場合によっては被害者のシステムで任意のコードが実行されたりする恐れがあります。
重大度の高い方の脆弱性に関する Ormandy 氏の報告書の経過報告によると、LastPass は、セキュリティ脆弱性が通知されてから数時間以内に、サーバ側でエクスプロイトを緩和する対策を実施しました。LastPass はさらにブラウザ拡張機能のアップデートを適用することで重大度の高い方の 1 つ目の脆弱性を完全に解決し、先に実行したサーバ側の緩和手順の完了後に、Firefox の拡張機能に存在していた 2 つ目の脆弱性を解決しました。
これらの脆弱性は、任意の場所からのメッセージを待機し、ユーザの LastPass ブラウザ拡張機能にそれを直接渡すための、LastPass がホスティングしている JavaScript ファイルに関するものでした。LastPass はこれを、最近追加された実験的なユーザオンボーディング機能の一部であると説明しています。攻撃者が被害者を不正 Web サイトへと誘導できた場合、ユーザ名とパスワードの取得などを指示するメッセージを Web サイトからブラウザ拡張機能に送信される恐れがあります。(追加機能を拡張機能に提供するための)バイナリコンポーネントがインストールされている Chrome の LastPass 拡張機能の場合、この同じ脆弱性を悪用して被害者のコンピュータで任意のコードを実行するよう指示することもできます。
LastPass は、これらの脆弱性が悪用された例は報告されていないものの、念のために徹底調査を進めていると説明しました。現段階では、LastPass ユーザがパスワードを変更する必要はなく、更新済みのブラウザ拡張機能が既に全ユーザに自動配信されています。
今回見つかった脆弱性は深刻なものではありましたが、LastPass の対応は、この問題を迅速に緩和し、解決するという、適切なものでした。Ormandy 氏は、LastPass の今回の対応を賞賛し、すべてのベンダにもこのような早期の対策を期待すると述べました。
–Marc Laliberte