Video: LastPass | Security Dashboard (Oktober 2024)
SecurityWatch je s LastPassom potrdil, da obstaja ranljivost v njegovi programski opremi, saj je nekatera gesla ostala dostopna. Obliž je že izdan in je na voljo za prenos.
Ranljivost
O ranljivosti smo izvedeli od našega bralca Davida Hughesa. Po drugi strani smo obvestili LastPass, ki je potrdil, da je bila težava ustvarjena z nedavno posodobitvijo njihovega sistema. Njihov popravek bi moral biti objavljen danes in vse spodbujamo, naj posodobijo svojo programsko opremo ali prenesejo novo različico z LastPass-a. To vprašanje bi vplivalo samo na uporabnike IE z LastPass različico 2.0.20.
Naš bralec nam je sporočil, da je lahko, ko je opravil pomnilnik pomnilnika na Windows IE, narisal shranjena gesla LastPass v odprtem besedilu. Zdi se, da ko upravitelj gesel samodejno izpolni polja v IE, nešifrirana gesla ostanejo dostopna v pomnilniku. Zdi se, da gesla iz prejšnjih sej ne vplivajo, saj izhod iz IE očisti pomnilnik. Poleg tega gesla, ki niso bila uporabljena za samodejno izpolnjevanje polj, ostanejo šifrirana in jih ni mogoče pridobiti s to ranljivostjo.
Zdi se, da težava zadeva samo uporabnike IE, zato so vsi ostali varni, razen če brskalnik uporabljate za shranjevanje gesel za vas - kar bi morali prenehati izvajati.
Čeprav težava zveni strašljivo, je obseg ranljivosti omejen. LastPass je dejal varnostni straži, "to posebno težavo bi bilo izredno težko izkoristiti - pri uporabi IE morate prijaviti lastnik LastPass, da dešifrirate svoje podatke, opravite pomnilniški pomnilnik, lovite po pomnilniku in dejansko najdete gesla - to smo določili kot prednostno nalogo, ker predvsem cenimo zasebnost in varnost podatkov naših uporabnikov."
Poleg tega je odlaganje pomnilnika veliko lažje, če imate neposreden dostop do ciljnega računalnika - nekaj, kar napadalec verjetno ne bo imel. Če lahko napadalec oddaljeno dostopa do vašega stroja in izvede smetišče, potem imate verjetno veliko več skrbi.
Ostati varen
Če v IE uporabljate to različico LastPass-a, bo posodobitev s strani LastPass zagotovo poskrbela za težavo, zato je najboljši način, da ostanete varni, da ga takoj prenesete.
Najpomembneje je, da ne prenehate uporabljati upravitelja gesel. Če ste previdni pri LastPassu, razmislite o naši izbiri urednikov DashLane 2.0. Shranjevanje in ustvarjanje edinstvenih gesel je zelo dragocena storitev in vam bo v spletu zagotovo zagotavljala varnejšo varnost.
Še naprej bomo LastPass priporočali kot upravitelja gesla in bil sem navdušen nad hitrostjo, s katero smo v zadnjih dneh reševali to težavo. Če vas zanimajo še kakšni nasveti, lahko o težavah prijavite podjetje LastPass neposredno z njihovega spletnega mesta ali pa nam vrnete vrstico.
