Видео: LastPass 101: Filling Forms (Септември 2024)
SecurityWatch потвърди с LastPass, че в неговия софтуер съществува уязвимост, оставяйки достъп до някои пароли. Патч вече е освободен и е достъпен за изтегляне.
Уязвимостта
Научихме за уязвимостта от нашия читател Дейвид Хюз. От своя страна информирахме LastPass, който потвърди, че проблемът е създаден от скорошна актуализация на тяхната система. Поправката им трябва да бъде пусната днес и ние насърчаваме всички да актуализират софтуера си или да изтеглят новата версия от LastPass. Този проблем би засегнал само потребителите на IE с LastPass версия 2.0.20.
Нашият читател ни информира, че когато извърши изхвърляне на паметта в Windows IE, той успя да извлече съхранени пароли LastPass в открит текст. Изглежда, че когато мениджърът на пароли автоматично попълва полета в IE, незашифрованите пароли остават достъпни в паметта. Паролите от предишни сесии изглежда не са засегнати, тъй като излизането от IE изчиства паметта. Освен това паролите, които не са били използвани за автоматично попълване на полета, остават кодирани и не могат да бъдат извлечени чрез тази уязвимост.
Изглежда, че проблемът засяга само IE потребители, така че всички останали са безопасни, освен ако не използвате браузъра си, за да съхранявате пароли за вас - което трябва да спрете да правите.
Въпреки че проблемът звучи страшно, обхватът на уязвимостта е ограничен. LastPass каза на охраната за гледане, "този конкретен проблем би бил изключително труден за експлоатация - изисква да използвате IE, че сте влезли в LastPass, за да декриптирате данните си, да извършите изхвърляне на паметта, да ловите през сметището и всъщност да намерите паролите - направихме поправянето на този приоритет, защото ценим поверителността и сигурността на данните на нашите потребители преди всичко."
Освен това изхвърлянето на паметта е много по-лесно да се направи, ако имате директен достъп до целевия компютър - нещо, което нападателят е малко вероятно. Ако един нападател може да осъществява дистанционен достъп до вашата машина и да изпълни сметището, тогава вероятно имате много повече да се притеснявате.
Да останеш в безопасност
Ако използвате тази версия на LastPass в IE, актуализацията от LastPass със сигурност ще се погрижи за проблема, така че най-добрият начин да бъдете сигурни е да го изтеглите незабавно.
Най-важното е, че не спирайте да използвате мениджър на пароли. Ако се чувствате предпазливи от LastPass, помислете за нашия избор на други редактори DashLane 2.0. Съхраняването и създаването на уникални пароли е много ценна услуга и абсолютно ще ви осигури по-сигурни онлайн.
Ще продължим да препоръчваме LastPass като мениджър на пароли и бях впечатлен от скоростта, с която проблемът беше адресиран през последните няколко дни. Ако някой друг съветник има интерес, можете да докладвате за проблеми директно на LastPass от уебсайта им - или просто ни пуснете ред.
