Descoberta de incidente:31 de março de 2017 (20h10)

NoSábado，Dia 25 deMarço，UM Pesquisador deSegurança做项目ZEROGE DO GOOGLE，TAVIS ORMANDY，relatouter descoberto uma falha de segurança nas extensões do LastPass para navegadores。Nas últimas 24个小时，lançamos uma atualização该认可该solucionará一个易受攻击的航海指南该确认该功能是通过próprio Tavis。

maioria dos usuários receberá A atualização automaticamente。验证você está executando a versão mais recente (4.1.44 ou superior)， disponível para下载emhttps://www.lastpass.com/。

Agora Que O有问题Foi Resolvido，Gostaríamosde Deixar Uma Mensagem Para Nossa Comunidade Sobre o Que Essa Descoberta Idughtou ParaNóse Como Estamos Deixando o Lastpass Melhor E Mais Seguro Daqui Para Frente。达达A Natureza da vultnerabilidade，一个MensageméallamenteTécnica。

VisãoGeracer.

• 一个脆弱的abordamos ocorreu不拉多做客户extensões做LastPass para navegadores e poderia ser explorada para roubar dados e manipanssa extensão
• 这个网址是exploração ocorresse，或者usuário seria atraído这个网址是malincionado (phishing, spearphishing, ou oua forma de atque)，或者是confiável com um adware malincionado
  • SeriaSuttingárioMUMAtaque PorUsuário，Executado Pelo Navegador Local DoUsuário
• 托迪斯作为突出的福尔萨斯·eviadas para作为lojas de扩展
  • nossos aplicativosmóveispara android e iosnãoforam afetados
• 你可以在extensões做LastPass para navegadores developser atualizadas para a versão 4.1.44 ou superior
  • Clique no ícone da extensão do LastPass > Mais opções > Sobre LastPass para verificar合格é a sua versão
  • A Mairia DosUsuáriosTeverbemAtualizações自动名称，MASverssõesmais redisesestãosemperdisponíveishttps://www.lastpass.com/
  • Nãoéstringáriodesinstalar aextensãopara baixar aVersãoatualizar

Mensagem

descoberta.

essa vulterabilidade do lado do cliente nasextensõesdo lastpass para navegadores foi gearada pelo modo como o lastpass se comporta em“mundos isolados”。Como Invecialado，“Um MundoIsoladoéémbientedeExecuçãode JavaScript Com O Mesmo Dom（文档对象模型）De Outros Mundos，MAS SEM Compartilhar Algumas Coisas，ComoVariáveiseFunções。SEM OS Mundos Isolados，PáginasSemPrivilégiosPodemTerInterferênciasem scripts com maisprivilégiospara fazer o quequiserem。“Quem USA AVersãoBináriaDaextensão，Ou Seja，Menos de 10％DosUsuários做LastPass，Poderia Haver UmaManipulaçãoPara Permerir UmaExecuçãoremotadeCódigonaextensão。

“世界孤立”e páginas confiáveis

o funcionamento dopardpia-se em scripts deconteúdo。Scripts deconteúdosãotrechos de javascript que injetamos em sites exters外部aga againinformaçõesde login e执行o ocextar o Recurso de Autocompletar。Éclyandocom isso que olastpassétãoútil。em troca，o script deconteúdose comunica com o restante daextensãopara fazer o trabalho pesado：Descriptgrafar OS网站Salvos，Atualizar O Cofre E Assim Por Diante。o Restante daextensãoficesinacessívelpara sexters外部，SEM Poder Wonterferir NoS脚本DeConteúdo。

Basicamente，操作系统脚本DeConteúdoFicamSeparados Do Resto Do Sites Pelo Conceito DoS“Mundos Isolados”。COM OS.世界报isolados， nossos脚本conteúdo podem ler os conteúdos DOM de um site externo, mas sem conttato com nenhuma função ou variável interna de JavaScript。O contrário também se aplica: O网站外部não pode executar nenhuma função nem acessar variáveis dos nossos scripts de conteúdo。一个função dessa separação é manter ambos os lados A salvo de manipulação externa。

Em Alguns Casos，EssasVariáveisPodemShopenciarALOGICADO COMPORT DECONTEUúdo。utícilininvetar valoresarbitrários没有javascript usandoestatécnica。No Entanto，EM UMA Manobra Temicemente Engenhosa，A Descoberta Aremiam Que StringsAbritáriasPoderiamSer Injetadas，E Uma Dessas Era O Bastante Para Enganar AextensãoParaFazê-la Pensar Que Estava Executando Em LastPass.com。assim，um invasor poderiaompersãodopardpare araca revelar os dados armazenados pelousuário，Iniciandoexecutáveisasbitráriosno caso deVersãobinária。

estamos supondo que podemos Confiar没有Escopo Global Em Que Nossos Scripts deConteúdoRodam，E Isso SE ProvouNãoSeroCaso。结果，Houve Muitos Locais Em Nosso JavaScript EM Que Foi Possvel QueVariáveisClobaise de Fontes externaseuperituísseum valorpadrão。

Solucao做得多

imediatamenteapósroybermos oRelatóriode descoberta，Uma equipe de Resposta MultidiciCiplinar Scentgou e Confirmgou o问题。Ficou Claro Que ASoluçãoexigiria UmaMudançayightativaem nossas延伸了帕拉纳纳巴萨队。NãoSETratavade Uma SimplesCorreção：SeriaSuttyárioUMReparo Complifo E Meticuloso。Daí，essasmudançasprecisariam ser aplicadas e testadas em todas作为extensõades。

我们希望你能帮助我们解决问题esforço，我们希望你能帮助我们解决问题，我们希望你能帮助我们解决问题，我们希望你能帮助我们解决问题possível。

solução, mexemos Na manipulação de variáveis e acrescenamos o objeto委托书的外部脚本的conteúdo，功能的como的“沙盒”的所有权，在fontes外部的外部的所有权，并在dentro的conteúdo的脚本。在此之前是execução远端为código，实施restrições不为extensão的附录提供支持，但其限制为api disponíveis。

特拉巴哈姆斯政府与零计划保持联系，希望能给予足够的利益。Após concluirmos o reparo para todas as extensões afetadas, pudemos submetê-las à análise de todas as lojas para elas chegassem aos nossos usuários o mais rápido possível。Gostaríamos对苹果，谷歌，微软，Mozilla, Opera, Yandex等公司进行了友好访问análise e a liberação de nossas extensões。

o que vem poraí

Recomendamos Que Outros Desenvolvedores deextensingõesiquematentos A EstePadrãoMESCódigosParaGarantir QueNãoEstejamvallneráveis。

Por Estarmos No Ramo de Gerenciamento de Senhas，SegurançaéESemperSemperSeránossa优先德Máxima。Temos GrandeAdmiraçãoPeloTrabalho Da Comunidade deSegurançaQue desafia Nosso Produto e Coopera Com Nossas装备Para Garantir Que Prustemos UMServiçoSeguroa nossosusuários。ComoLíderesde Mercado，Temos A Nata Da Comunidade Testando o Lastpass e，Em Troca，Quem GanhaSãoOSnossos客户端E o nosso Software EM Si。

一项关于行为或行为的活动nível de segurança，连续的行为或行为的奖励是白色的帽子或奖励是participação em noso程序与臭虫有关(https://bugcrowd.com/lastpass）。Fique atento A MaisInformações。

阿蒂索斯语，

又一轮areasip.

____________________________________________________________________________________________________________________________________________________________________________________________________________

27 de março de 2017 (19h10)

Num Pesquisador deSegurança没有FIM de Semana DoSegurança做谷歌，Tavis Ormandy，Relatou Ter Descoberto Umo Nova vulterabilidade没有Lado Do Cliente NaExtensãodo lastpass para navegadores。没有动弹，estamos sanando是一个遗漏的。EsseAtaqueéAtípicoeAtlamente Sofisticado。Quemos evitar adivulgaçãode algoespecíficosobre a vulnerabilidade ou no que estamos trabalhando parasolucioná-la a fim denãorevelar ilgo posa pessoas mal-intentionadas。Portanto，Aguarde UmaPublicaçãoMaisDetalhada Quando TivermosCombuídonosso Trabalho。

在这里，我们可以找到gostaríamos，在这里我们可以找到一个LastPass，在这里我们可以找到padrões，在这里我们可以找到一个合作伙伴，在这里我们可以继续我们的生活，也可以继续我们的生活。Queremos também记住一个想法usuários algumas providências的想法protegê-los为解决问题做准备。

1. 使用o cofre做LastPass como的平台的aceso -Abra网站direcretamente做cofre做LastPass。Esse é o jeito mais seguro de acessar网站和suas credenciais até什么是脆弱的seja resolvida。
2. 使用autenticação de dois fatores他们要做的事情serviços一个网址Sempre que possível, habilite a autenticação de dois fatores na suas contas;Muitos网站já oferecem essa opção para aumentar a segurança。
3. 我要去钓鱼了祝你好运Tentativas de网络钓鱼。Não团体为他们的利益和他们的利益联系在一起，他们想在comunicação的contatos和他们的后contatos之间建立联系você confia。《nossa表示DICAS Para evitar intativas de网络钓鱼。

泄露新星informações严肃a correção após a conclusão。