Parodyti „LastPass“ pažeidžiamumai: Štai kaip išlikti saugiems

Vienas iš populiariausių Slaptažodžio tvarkytojai „LastPass“ susiduria su rimtomis problemomis dėl savo naršyklės plėtinių, nes per pastarąją savaitę tarnybai buvo atskleisti keli pažeidžiamumai, kurie vis dar išlieka.




„LastPass“

Technologija nuolat tobulėja ir, nors ja siekiama pagerinti mūsų gyvenimo būdą, kartais ji gali būti netgi žalinga, jei tam tikros klaidos bus išnaudotos, ypač kai kalbama apie tokią paslaugą kaip „LastPass“, atsakingą už dešimčių milijonų slaptažodžių apsaugą.

Praėjusią savaitę, kovo 20 d., „Google“ projekto „Zero“ tyrėjas Tavis Ormandy aptiko dvi klaidas „LastPass“ naršyklės plėtiniuose, dėl kurių vartotojai buvo apsaugoti nuo nuotolinio kodo vykdymo.

Paaiškėjo, kad pažeidžiami tiek verslo, tiek asmeniniai paslaugų vartotojai.





Per praėjusią savaitę paaiškėjo pažeidžiamumas?

Kovo 20 d .: „Tavis Ormandy“ randa du „Remote Code Execution“ (RCE) pažeidžiamumus, kurie turėjo įtakos „LastPass“ naršyklės plėtiniams - potencialiai leidę užpuolikui pavogti slaptažodžius.

Oi, nauja „LastPass“ klaida, paveikianti 4.1.42 („Chrome“ ir FF). RCE, jei naudojate „dvejetainį komponentą“, priešingu atveju galite pavogti pwds. Visas pranešimas apie kelią. pic.twitter.com/y92vm3Ibxd

- Tavisas Ormandy (@taviso) 2017 m. Kovo 20 d

Kovo 21 d .: „LastPass“ pripažįsta Ormandy pranešimą ir patvirtina, kad pažeidžiamumų yra, ir jų komanda stengsis juos pašalinti.

Mes žinome apie @taviso o mūsų komanda, norėdama išspręsti problemą, pateikė sprendimą. Sekite naujienas.

- „LastPass“ (@LastPass) 2017 m. Kovo 21 d

Kovo 22 d .: Kompanija skelbia kad jie išleido naujas „Chrome“ (v. 4.1.43) ir „Firefox“ (v. 4.1.36) naršyklės plėtinių versijas su įdiegtais saugos atnaujinimais.

Jie taip pat paminėjo, kad per šį laikotarpį jokie duomenys nebuvo pažeisti ir vartotojams nereikia jaudintis keičiant savo kredencialus. Laukiant įmonės patvirtinimo, bus išleistos atnaujintos „Microsoft Edge“ ir „Opera“ naršyklių plėtinių versijos.

Kovo 25 d .: „Tavis Ormandy“ aptinka dar vieną pažeidžiamumą, su kuriuo susiduria atnaujinta „Google Chrome“ naršyklės plėtinio versija (v 4.1.43). „LastPass“ pripažįsta pažeidžiamumą atnaujindamas savo kovo 22 d. Pranešimą.

Aha, aš šį rytą buvau epifanija duše ir supratau, kaip gauti „codeexec“ „LastPass“ 4.1.43. Visas pranešimas ir išnaudojimas pakeliui. pic.twitter.com/vQn20D9VCy

- Tavisas Ormandy (@taviso) 2017 m. Kovo 25 d

Kovo 27 d .:„LastPass“ išleido pareiškimas“, Mes aktyviai nenagrinėjame pažeidžiamumo. Ši ataka yra unikali ir labai sudėtinga. Mes nenorime atskleisti nieko konkretaus apie pažeidžiamumą ar mūsų pataisas, kurios galėtų atskleisti ką nors mažiau sudėtingesnėms, bet nerūpestingoms šalims. “





Kaip išlikti saugiam?

Vdovichenko Denis / Shutterstock.com

Šiuo metu „LastPass“ patvirtino, kad stengiasi išspręsti saugos problemas, susijusias su jų tarnyba, ir netrukus tikimasi visiško pataisymo. Tuo tarpu „LastPass“ vartotojams rekomenduojama atsižvelgti į šias atsargumo priemones.

  • Norėdami apsaugoti prisijungimo duomenis, vartotojams rekomenduojama tuo tarpu išjungti naršyklės plėtinius ir paleisti svetaines tiesiai iš „LastPass Vault“, kol įmonė pašalins pažeidžiamumus.
  • Įjunkite dviejų veiksnių autentifikavimą visose paskyrose, kurios siūlo šią parinktį, suteikdami savo paskyrai papildomą saugos lygį tuo atveju, jei užpuolikas pasinaudoja pažeidžiamumu.
  • Stebėkite sukčiavimo išpuolius. Nespustelėkite nuorodų iš nepatikimų šaltinių - žmonių, kurių nepažįstate
Ieškai alternatyvų „LastPass“? Patikrinkite 3 populiariausios alternatyvos čia.