Credit: Pexels
비밀번호 관리자 라스트패스(LastPass)의 개발자는 공격자가 사용자의 비밀번호를 도용하거나 컴퓨터에서 악성코드를 실행할 수 있는 심각한 취약점을 해결하기 위해 서둘러 해결책을 내놓았다.
이 취약점은 구글 보안연구원인 타비스 오르만디에 의해 발견됐으며, 지난 20일에 보고됐다. 이는 서비스 사용자가 구글 크롬, 모질라 파이어폭스, 마이크로소프트 엣지 용으로 설치한 브라우저 확장 프로그램에 영향을 미쳤다.
구글 프로젝트 제로(Google Project Zero) 버그 추적기의 설명에 따르면, 이 취약점으로 인해 공격자는 라스트패스 확장 프로그램 내부 명령에 접속할 수 있었다. 이는 사용자의 안전 금고에 저장된 정보를 사용해 비밀번호를 복사하거나 웹 양식을 채우는 확장 프로그램에 사용하는 명령이다.
오르만디는 버그 추적기에 "확장 프로그램의 바이너리 컴포넌트가 설치되어 있다면, 'openattach' 명령을 사용해 컴퓨터에서 임의의 코드를 실행할 수 있다"고 말했다.
라스트패스 측은 악용을 막기 위해 자사의 서버에서 해결 방법을 배포했으며, 새로운 버전에는 전체 수정 사항으로 포함시킬 계획이다.
3월 21일, 오르만디는 파이어폭스 확장 기능 내 또 다른 취약점을 보고했다. 라스트패스 개발자에 따르면, 이 또한 첫번째 것과 관련이 있다고 말했다. 이 취약점은 22일 발표된 파이어폭스 확장 프로그램의 새로운 버전 4.1.36a에서 수정됐다.
라스트패스 개발자는 블로그에서 "보고된 취약점 가운데 어떤 것도 해커들에게 악용됐다는 증거는 없다. 하지만 이번에 철저한 검토를 통해 확인하고 있다. 현재 사용자들의 비밀번호 변경은 필요하지 않다"고 말했다. editor@itworld.co.kr