Google Project Zeroは「Issue 1930 - project-zero - Project Zero - Monorail」において、パスワード管理アプリケーション「LastPass」のブラウザエクステンションにアカウントデータ漏洩の脆弱性が存在すると伝えた。

この脆弱性を悪用された場合、条件付きではあるが、直前に入力したアカウントデータが窃取可能なパスが存在するとされており注意が必要。

  • Issue 1930 - project-zero - Project Zero - Monorail

    Issue 1930 - project-zero - Project Zero - Monorail

この脆弱性は9月12日に公開されたLastPass v4.33.0 / v4.33.4で修正されたという報告が既に行われている。該当するエクステンションを使用している場合、エクステンションのバージョンを確認するとともに、脆弱性が存在するバージョンに該当する場合は迅速に最新版へアップデートすることが望まれる。

  • LastPass v4.33.0 / v4.33.4 - 2019年9月12日公開

    LastPass v4.33.0 / v4.33.4 - 2019年9月12日公開

  • LastPass 4.33.0およびこれ以降のバージョンで修正されたという報告

    LastPass 4.33.0およびこれ以降のバージョンで修正されたという報告

パスワード管理アプリケーションはパスワード管理の方法として好ましいものと考えられている。しばしば、パスワード管理アプリケーション事態に脆弱性が発見されることがあるが、それでもパスワード管理アプリケーションを使ったほうが安全と見る向きが多い。

また、こうしたアプリケーションを使う場合は多要素認証を有効化することで安全性を高めることができると考えられており、多くの場合、多要素認証の機能を併用することが推奨されている。