Informe Sobre Una IncIdencia：2017年5月31日(20.10小时)

Elsábado25 de Marzo，Tavis Ormandy，Investigador de Seguridad del Equipo Project Zero eGooginformo一个与LastPass的导航关系有关的问题。在últimas 24小时内，他的公众在actualización pensada para corregir la vulnerabilidad detectada在航行中，他的目的是要核实的特别的Tavis。

LaActualizaciónSeaplicaráAmailáticamenteen LaMayoríade Los Casos。Los Usuarios reben asegurarse de queEstánuterizodolaVersiónmásreciente（4.1.44 o superior），que puede descargarsetambiéndesdehttps://www.lastpass.com/。

为了解决这个问题，我们将在análisis向未来的最后一段时间内的最后一段时间内，向未来的最后一段时间内的最后一段时间内，向未来的最后一段时间内的最后一段时间内，向未来的最后一段时间内的最后一段时间内，向未来的最后一段时间内的最后一段时间内。一个易受伤害的原因características一个易受伤害的原因análisis altamente técnico。

Resumen

• Esta vullnerabilidad afectaba a la parte del Cliente de Las Editiones Para Navegador de Last通道YPodíaBritlaPuertaAl Robo de Datos Y A LaManipulacióndeLaextensióndeLast通道。
• 脆弱的地方，hacía falta engañar通常为创建一个新的网站(través网络钓鱼，鱼钩钓鱼técnica)，然后为一个新的网站创建一个新的广告软件。
  • EstaAcciónRequiere联合国Ataque Dirigido Al Usuario Concreto Y Ejecutado ATravésdeSuNavegador本地。
• Todas LAS Extentse SE HAN Actumentizodo Con LaCorrecciónyLaúltimaVersiónSeHeEnviado Ya A LAS Tiendas de Extentinges。
  • La IncICENCIA没有AFECTO A NUESTRAS APLICACIONES PARA DISPOSIVOSMóvilesAndroidY iOS。
• Todas Sus Extensiones Para Navegador de LastPass Destar Actualizadas A LaVersión4.1.44 o优越。
  • Para Saber SuNúmerodeVersión，Vaya Al Icono de laextensióndeLastpass>MásPociones> Acerca de Lastpass。
  • 在mayoría的洛斯卡索斯的actualización es automática，他可能的版本是últimashttps://www.lastpass.com/。
  • 没有必要去安装它，也没有必要去安装它versión actualizada。

进行分析后验

El informe

La vullnerabilidad en La Paree del Cliente de Las Editiones Para Navegador de LastPassTeníaSuOrigen en El Comportamiento de LastPass en Los Denominados«Mundos Aislados»。Tal Y Como Se Menciona en El Informe，UN«Mundo Aislado Es Un Entorno deEjecucióndeJavascriptQue Comparte El Mismo Dom（文档对象模型）Con Otros Mundos，Pero没有Elementos Como Las变量Y Las Funciones。Sin Los Mundos Aislados，UnaPáginaInPrivieGiosPodría干扰孔剧本Con Privilegios Superior Y Orfigarles A Hacer Lo QueQueieran»。EN EN EL CASO DE LOS USUIOS Que Ulitizaban LaVersiónBinariade laExtensión（Que Tapperan Menos De Lastpass），Esta vulnerabilidadPodríahaberabierto la puerta a Unamanipulacióncapazde permitir laejecuciónremota decódigo（Rce）laextensión。

«Mundos Aislados»YPáginasdeConianza

最后一段的函数是在最广的媒体中，在包含内容的脚本中。Los scripts de contenido son snippets de JavaScript的内容片段在sitios de terceros para capturar información de inicio de sesión y ejecutar acciones de autocompletado, dos的前staaciones más útiles de LastPass。请注意，信息通信的内容extensión对该区域的信息进行分析más紧急情况:请注意警卫的信息，实际情况请注意bóveda等。这个地方的extensión是完全无法进入的在其他地方也不可能对内容的脚本有任何干扰。

Los scripts de contenido normalmente están desconectados del resto del sitio，感谢concepto conocido como«mundos aislados»。洛杉矶Mundos Aislados.Permenan A Nuestro脚本De Contenido Leer Los Contenidos Dom de Un Sitio de Terceros，Pero没有Acceder A变量Ni Funciones Internas de JavaScript。y lo mismo sucede en En El Sentioo Inverso：El Sitio de Terceros No Puede Ejecutar Funciones Ni Acceder A Variables de Nuestro脚本de contenido。Con EstaSeparación，La Idea ES Reforzar LaProtecciónContraManipulaciones exlas dos部分。

在这些情况下，所有变量都有可能影响到lógica的内容。在这个情况下técnica在JavaScript中引入的武断的复杂结果，我很感兴趣línea de análisis通知demostró武断的可能，然后bastó para engañar a la extensión你可能会在最后的地址。形式是这样的，一个atacante podía的操作extensión的最后一种方式是在cuestión y的情况下，在这个情况下versión binaria，可以抛出任意变量。

Desde都planteamiento, considerabamos podiamos confiar en el contexto全球en el, se ejecutaban都脚本de contenido佩罗la realidad demostro是没有时代asi y, en mucho分都能JavaScript existia危险,变量全球de奥利金externo pudieran赌苏voluntad尤其联合国英勇predeterminado。

arcorucióndel问题

NadaMásFecibirel Informe Complifo，UN Equipo de Emercencia TransversalAnalizóyCronoborólaS的结论。EnseguidaQuedó专利品Que Para Corregir Los问题HaríaFarta联合国Cambio重要e en nuestras extentedes para navegador。No Bastaba Con Unimple Parche，Sino QueSeríaNecesariaUnaCorrecciónProfundaY Featriva。Además，estos cambiosendríanque aplicarse y controbarse en todas las extentsides afectadas。

EN RESUMEN，OFRECER UNA RESPUESTA INORTORALAL A AMENAZAS DEVICTADAS POR EL INFORINGE EXIGIIPO AN ESFUERZO相当大的，PERO NUESTRO EQUIPO TRABAJO COLLARRELOJ PARAIDIR LAS CONTECCIONES EN EL MENOR TIEMPO POSIBLE。

Entre Las Medidas Aplicadas，Corregimos LaManipulaciónde变量yañadimoselobjeto proxy alperímetro外部del脚本de Contenido，queActúaComoZona Aislada Para evitar La Lectura De Propiedades de Ventanas de Origen外部德罗德罗德·德州德国德罗德罗德罗德罗·德罗德罗Para Reducir el Riesgo de Rce，介绍Jimos Restricciones En Los Tipos de Adjultos Que LaextensiónPuedeBabirY Limitamos LAS API Disponibles en LaExtensión。

在这个过程中，与零计划的主管部门合作在这个过程中，我们会把所有的信息都告诉大家。我们可以在corrección上找到它的延伸部分，我们可以在revisión上找到它的延伸部分，我们可以在这里找到它的延伸部分，我们可以在这里找到它的延伸部分。Desde aquí agradecemos是苹果，谷歌，微软，Mozilla, Opera, Yandex等公司的网址extensión。

Mirando Al Futuro

建议我们在其他范围内观察到的内容patrón在其他范围内重复código在其他范围内做一些容易受伤害的事情。

Nosotros NoS Dedicamos A LaGestióndecortaseñasy，Por Lo Tanto，La Seguridad Es YSeráSiempreNuestraMáxima先皮达。POR ESO，Agradecemos El Trabajo Que La Comunidad de Seguridad Reviza Poniendo A Prueba Nuestro Producto Y Garantizando Que Ofrecemos Un Servicio Seguro A NuestroSuarios。Por NuestraCondicióndeLídelMercado，Someemos Lastps A. Las PruebasMásevosibles y Los Principes Yenteciados de Este Proceso Son Nuestro Software Y Nuestro Softures y Nuestro客户。

可以从其他方面来看，如máximos的数据，持续的合作和数据的分析以及数据的原始数据和数据的相关数据以及数据的补偿计划以及数据的localización数据的错误(https://bugcrowd.com/lastpass）。Muy ProntoTendremosmásnovedades en Este Apartado。

很多谢谢。

El Equipo de Lastpass

____________________________________________________________________________________________________________________________________________________________________________________________________________

2017年12月27日(19.10小时)

Durante El Fin de Semana，Tavis Ormandy Investigador de Seguridad de Google，Inform of Una Nueva vullnerabilidad en La Paree del Cliente de laextensiónpara navegador de lastpass。Actualmente estamos trabajando activalame para corregir el问题。Este Tipo de Ataque Estremadamente Sofisticado E般的味道。Ahora Mismo Preferimos没有RevelarInformaCiónsectefíficasobre la vullnabilidad o nuestracorrecciónquepudieraresultarútila personas con malas intenciones，Pero Una Vez Finalizado El Procearemos UnAnálisisMásdallado。

Por El Momego，Quemos Dar Las Gracias A Las Personas Que，Como Tavis，NoS Ayudan A子弹ListóndaSeguridaddeLastónde la Seguridad de Last通行y que colaboran con nuesturo quir queir que lastpul que lastpane contemule siendo el gestor decontraseñasmásseguro del Mercado。tambiénqueremos aprovechar para arecer a nuestro usuarios una serie de Recomendaciones para protegerst contra estos tipos de问题relacionados con el cliente。

1. Ejecucióndeaplicacionesdesdelabóvedade lastpass -EstaVíaSSaformaMásSegurade Acciner A Sus Credenciales Y Sus Sitios Hasta Que Se Corrija La Plynerabilidad。
2. Autenticación为我们服务的两个因素- - - - - -西门是可能的，必须有双重因素;我们的网站经常在网上更新opción，这是为了维护社会稳定。
3. Cuidado Con Los Ataques de网络钓鱼- - - - - -极端siempre las precauciones para evitar cualquierIntento de网络钓鱼。没有任何一种与之相关的疾病，也没有任何一种与之相关的疾病，如extraño或ilógico，也没有一种与皇后的人格相关的疾病如confía。这是一种新鲜的食物Consejos para prevenir el phishing。

最后的结果是corrección我想要一个conocer más información。