Video: LastPass | Security Dashboard (November 2024)
SecurityWatch potvrdil pomocou LastPass, že vo svojom softvéri existuje chyba zabezpečenia, ktorá umožňuje prístup k niektorým heslám. Oprava už bola vydaná a je k dispozícii na stiahnutie.
Zraniteľnosť
O zraniteľnosti sme sa dozvedeli od nášho čitateľa Davida Hughesa. Nakoniec sme informovali spoločnosť LastPass, ktorá potvrdila, že problém bol spôsobený nedávnou aktualizáciou ich systému. Ich oprava by sa mala zverejniť ešte dnes a odporúčame všetkým, aby aktualizovali svoj softvér alebo si stiahli novú verziu z LastPass. Tento problém by ovplyvnil iba používateľov prehliadača Internet Explorer s verziou LastPass 2.0.20.
Náš čitateľ nás informoval, že keď vykonal výpis pamäte v systéme Windows IE, dokázal načítať uložené heslá LastPass v jednoduchom texte. Zdá sa, že keď správca hesiel automaticky vyplňuje polia v IE, nezašifrované heslá zostanú prístupné v pamäti. Heslá z predchádzajúcich relácií sa nezdajú byť ovplyvnené, pretože ukončenie prehliadača IE vyčistí pamäť. Okrem toho heslá, ktoré neboli použité na automatické dopĺňanie polí, zostávajú šifrované a pomocou tejto chyby zabezpečenia sa nedajú získať.
Zdá sa, že tento problém sa týka iba používateľov prehliadača IE, takže všetci ostatní sú v bezpečí, pokiaľ nepoužívate prehliadač na ukladanie hesiel - čo by ste mali prestať robiť.
Aj keď problém znie desivo, rozsah zraniteľnosti je obmedzený. LastPass povedal bezpečnostným strážcom, „tento konkrétny problém by bolo mimoriadne ťažké zneužiť - vyžadujete, aby ste pomocou IE, že ste sa prihlásili do LastPass, aby ste dešifrovali svoje údaje, vykonali výpis z pamäte, vyhľadávali výpis z pamäte a skutočne vyhľadali heslá - túto prioritu sme si stanovili ako prioritu, pretože si vážime predovšetkým súkromie a bezpečnosť údajov našich používateľov. ““
Okrem toho je ukladanie pamäte oveľa jednoduchšie, ak máte priamy prístup k cieľovému počítaču - čo útočník pravdepodobne nebude mať. Ak útočník môže vzdialene pristupovať k vášmu počítaču a vykonávať výpis, pravdepodobne sa budete musieť oveľa viac obávať.
Zostaňte v bezpečí
Ak používate túto verziu LastPass v IE, aktualizácia z LastPass sa určite postará o problém, takže najlepším spôsobom, ako zostať v bezpečí, je stiahnuť si ju okamžite.
A čo je najdôležitejšie, neprestávajte používať správcu hesiel. Ak sa obávate LastPassu, zvážte našu ďalšiu editorskú voľbu DashLane 2.0. Ukladanie a vytváranie jedinečných hesiel je veľmi cenná služba a absolútne vás udrží v bezpečí online.
Budeme aj naďalej odporúčať LastPass ako správcu hesiel a bol som ohromený rýchlosťou, s akou sa problém vyriešil v posledných dňoch. Ak vás zaujímajú iní tipéri, môžete nahlásiť problémy priamo na LastPass z ich webových stránok - alebo nám jednoducho pošlite riadok.