구글 프로젝트제로 “라스트패스4.1.35에서 또 다른 버그 발견”
그는 “이것은 내부 권한을 가진 라스트패스 RPC 명령에 대한 완전한 액세스를 허용한다. 다양한 RPC 중 암호를 복사하고 작성하는(copypass, fillform 등) 가장 큰 문제다”라고 그는 설명했다.
또한 사용자가 라스트패스 바이너리 구성 요소를 설치하면 시스템이 원격코드실행에 취약해질 수 있다.
라스트패스는 영향을 받는 도메인에서 DNS 오류를 반환하도록 하면서 문제를 해결했다. 이 회사는 트위터에서 향후 블로그 게시물에서 이 문제에 대한 자세한 내용을 제공할 것이라고 밝혔다.
오만디는 이에 대해 “그들이 서비스를 중지하고 DNS 엔트리를 제거하는 것이 아닌 중간자(man in the middle)가 올바른 DNS응답을 삽입할 수 있기를 원한다. 파이어폭스의 LastPass에 영향을 미치는 1188번 이슈 문제는 수정되지 않았고, 여전히 동작하는 것에 주의해야 한다”고 밝혔다.
오만디에 따르면, 라스트패스는 코드실행으로 이어지지는 않는다고 밝혔지만, 라스트패스가 맥(Mac)에서 코드를 연구하는 동안 그는 연구를 통해 윈도우의 계산기를 실행할 수 있었다.
한편 오만디는 암호관리 소프트웨어에서 또 다른 취약점을 발견했다. 그는 “라스트패스4.1.35(패치되지 않은 버전)에서 또 다른 버그를 발견했고, 이를 통해 모든 도메인에서 패스워드를 탈취할 수 있다. 이에 대한 보고서를 곧 공개할 예정이다”라고 트위터를 통해 밝혔다.
★정보보안 대표 미디어 데일리시큐!★
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
Tag
#보안취약점
저작권자 © 데일리시큐 무단전재 및 재배포 금지