アップデート：

LastPass は、ブラウザ拡張機能の脆弱性はすでに修正されており、悪用されたという証拠はないと述べています。

Googleのセキュリティ研究者であるTavis Ormandy氏は、LastPassのデスクトップブラウザ拡張機能にクライアント側の脆弱性があることを報告しましたが、修正が完了するまで、Ormandy氏もLastPassも詳細を明らかにしませんでした。同社は、修正はすでに完了しており、ほとんどのユーザーは自動的にバージョン4.1.44にアップデートされると述べています。

3月25日（土）、Google Project Zeroのセキュリティ研究者Tavis Ormandy氏が、 LastPassブラウザ拡張機能に関するセキュリティ上の発見を報告しました。過去24時間以内に、報告された脆弱性をすべてのブラウザで修正したと思われるアップデートをリリースし、Tavis氏自身にも確認済みです。

ほとんどのユーザーは自動的にアップデートされます。最新バージョン（4.1.44以上）をご利用いただくようお願いいたします。最新バージョンはhttps://www.lastpass.com/からいつでもダウンロードできます。

LastPass は現在、ブログ投稿でこの問題の詳細を提供しているが、脆弱性の不明瞭な性質により、説明が高度に技術的になる点を警告している。

パスワード管理ツール「LastPass」は、週末に発見された脆弱性の修正作業中、ユーザーに予防措置を講じるよう推奨しています。推奨事項のうち2つは一般的な内容で、いずれにしても従うべきものですが、1つは特にアカウントを脆弱性から保護することに重点を置いています。

このガイドラインでは、2 要素認証をサポートするすべてのサービスで 2 要素認証を使用するとともに、フィッシング攻撃に対して警戒を怠らないようにするという一般的なアドバイスと、修正プログラムが利用可能になるまでの具体的な推奨事項が示されています。

LastPass Vault を起動パッドとして利用– LastPass Vault から直接サイトを起動します。この脆弱性が解決されるまで、これが認証情報やサイトにアクセスする最も安全な方法です。

同社は、この欠陥を悪用するには非常に高度な攻撃が必要であり、セキュリティホールが塞がれ次第詳細を明らかにするとしている。

週末、Googleのセキュリティ研究者であるTavis Ormandy氏が、LastPassブラウザ拡張機能に新たなクライアント側の脆弱性があることを報告しました。現在、この脆弱性への対応に積極的に取り組んでいます。この攻撃は特異かつ高度です。脆弱性や修正について、それほど高度ではないものの悪意のある第三者に情報が漏れてしまう可能性があるため、具体的な情報は公開しません。そのため、作業完了後、より詳細な事後分析をお届けできる予定です。

この脆弱性は Google Chrome にのみ存在するようですが、どのブラウザを使用する場合でも同社のアドバイスに従うことをお勧めします。

Neowin経由。写真：SkyHigh。

havebin.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。