Atklātas LastPass ievainojamības: Lūk, kā saglabāt drošību

Viens no populārākajiem Paroļu pārvaldnieki LastPass sastopas ar nopietnām pārlūka paplašinājumu problēmām, jo ​​pēdējās nedēļas laikā pakalpojumam tika atklātas vairākas ievainojamības, un tās joprojām pastāv.







LastPass

Tehnoloģija nepārtraukti attīstās, un, kaut arī tās mērķis ir uzlabot mūsu dzīvesveidu, dažreiz tā var būt pat kaitīga, ja tiek izmantotas noteiktas kļūdas, it īpaši, ja ir iesaistīts tāds pakalpojums kā LastPass, kurš ir atbildīgs par desmitiem miljonu paroļu aizsardzību.

Pagājušajā nedēļā, 20. martā, Google projekta Zero pētnieks Tavis Ormandijs atklāja divas kļūdas LastPass pārlūka paplašinājumos, kas padarīja lietotājus neaizsargātus pret koda attālu izpildi.

Atklātā ievainojamība skāra gan biznesa, gan personiskos pakalpojuma lietotājus.







Aizvadītās nedēļas laikā atklātās ievainojamības?

20. marts: Tavis Ormandijs atrod divas Remote Code Execution (RCE) ievainojamības, kas ietekmēja LastPass pārlūka paplašinājumus - potenciāli ļaujot uzbrucējam nozagt paroles.

Hmm, jauna LastPass kļūda, kas ietekmē 4.1.42 (Chrome un FF). RCE, ja izmantojat “Bināro komponentu”, pretējā gadījumā var nozagt pwds. Pilns ziņojums ceļā. pic.twitter.com/y92vm3Ibxd

- Tavis Ormandy (@taviso) 2017. gada 20. marts

21. marts: LastPass atzīst Ormandijas ziņojumu un apstiprina, ka ievainojamības pastāv un viņu komanda strādās, lai tās novērstu.

Mēs apzināmies @taviso un mūsu komanda ir izstrādājusi risinājumu, kamēr mēs strādājam pie rezolūcijas. Sekojiet līdzi atjauninājumiem.

- LastPass (@LastPass) 2017. gada 21. marts

22. marts: Kompānija paziņo ka viņi ir izlaiduši jaunas pārlūka Chrome (v 4.1.43) un Firefox (v 4.1.36) versijas ar drošības atjauninājumiem.

Viņi arī minēja, ka šajā laika posmā dati nav apdraudēti un lietotājiem nav jāuztraucas par akreditācijas datu mainīšanu. Atjauninātās Microsoft Edge un Opera pārlūka paplašinājumu versijas tiks izlaistas līdz uzņēmuma apstiprināšanai.

25. marts: Tavis Ormandijs atklāj vēl vienu ievainojamību, ar kuru saskaras atjauninātā Google Chrome pārlūka paplašinājuma versija (v 4.1.43). LastPass atzīst ievainojamību, atjauninot viņu 22. marta paziņojumu.

Ah-ha, man šorīt dušā bija epifānija un es sapratu, kā iegūt codeexec programmā LastPass 4.1.43. Pilns ziņojums un izmantošana ceļā. pic.twitter.com/vQn20D9VCy

- Tavis Ormandy (@taviso) 2017. gada 25. marts

27. marts:LastPass izdeva a paziņojums, apgalvojums, ”Mēs aktīvi nerisināsim šo ievainojamību. Šis uzbrukums ir unikāls un ļoti izsmalcināts. Mēs nevēlamies atklāt neko konkrētu par ievainojamību vai mūsu labojumu, kas varētu atklāt kaut ko mazāk sarežģītām, bet nožēlojamām pusēm. ”





Kā saglabāt drošību?




Vdovichenko Denis / Shutterstock.com

Pašlaik LastPass ir apstiprinājis, ka strādā ar viņu pakalpojumu drošības problēmu novēršanu, un drīzumā gaidāma pilnīga labošana. Tikmēr LastPass lietotājiem ieteicams ievērot šādus piesardzības pasākumus.

  • Lai aizsargātu savus pieteikšanās akreditācijas datus, lietotājiem ir ieteicams pa to laiku atspējot pārlūka paplašinājumus un palaist vietnes tieši no LastPass glabātuves, līdz uzņēmums ievainojamības ir novērsis.
  • Ieslēdziet divu faktoru autentifikāciju visiem kontiem, kas piedāvā šo iespēju, nodrošinot savam kontam papildu drošības pakāpi gadījumā, ja uzbrucējs izmanto šo ievainojamību.
  • Esiet uzmanīgs pikšķerēšanas uzbrukumiem. Neklikšķiniet uz saitēm no neuzticamiem avotiem - cilvēkiem, kurus jūs nepazīstat
Vai meklējat alternatīvas LastPass? Apskatiet top 3 alternatīvas šeit.