Video: LastPass | Security Dashboard (Nobyembre 2024)
Kinumpirma ng SecurityWatch sa LastPass na ang isang kahinaan ay umiiral sa software nito, na inii-access ang ilang mga password. Ang isang patch ay inilabas at magagamit upang i-download.
Ang Vulnerability
Nalaman namin ang tungkol sa kahinaan mula sa aming mambabasa na si David Hughes. Inihayag din namin sa LastPass na nakumpirma na ang isyu ay nilikha ng isang kamakailang pag-update sa kanilang system. Ang kanilang pag-aayos ay dapat mailabas ngayon, at hinihikayat namin ang lahat na i-update ang kanilang software o i-download ang bagong bersyon mula sa LastPass. Ang isyung ito ay makakaapekto lamang sa mga gumagamit ng IE na may bersyon ng LastPass 2.0.20.
Ipinagbigay-alam sa amin ng aming mambabasa na kapag nagsagawa siya ng isang memory dump sa Windows IE, nakuhang makuha niya ang naimbak na mga password ng LastPass sa plaintext. Tila na kapag ang mga patakaran ng password ng autofills ay nasa IE, ang mga hindi naka-encrypt na mga password ay mananatiling naa-access sa memorya. Ang mga password mula sa mga nakaraang session ay hindi lilitaw na apektado, dahil ang pagtigil sa IE ay naglilinis ng memorya. Bilang karagdagan, ang mga password na hindi pa ginagamit sa mga patlang ng autofill ay mananatiling naka-encrypt at hindi maaaring makuha gamit ang kahinaan na ito.
Ang isyu ay lilitaw lamang sa mga gumagamit ng IE, kaya ang lahat ay ligtas maliban kung ginamit mo ang iyong browser upang mag-imbak ng mga password para sa iyo-na dapat mong ihinto ang paggawa.
Habang ang isyu ay nakakatakot, ang saklaw ng kahinaan ay limitado. Sinabi ng LastPass sa panonood ng seguridad, "ang partikular na isyu na ito ay magiging napakahirap na samantalahin - hinihiling na gumamit ka ng IE, na naka-log in ka sa LastPass upang i-decrypt ang iyong data, magsagawa ng isang memory dump, manghuli sa memory dump, at aktwal na hanapin ang mga password - ginawa namin ang pag-aayos ng ito bilang isang priority dahil pinapahalagahan namin ang privacy at seguridad ng data ng aming mga gumagamit higit sa lahat. "
Bukod dito, mas madaling gawin ang pag-alis ng memorya kung mayroon kang direktang pag-access sa target na computer - isang bagay na hindi malamang na magkaroon ng isang mananalakay. Kung ang isang mang-aatake ay maaaring ma-access ang layo sa iyong makina at isagawa ang dump, pagkatapos ay marahil mayroon kang higit na mag-alala tungkol sa.
Manatiling Ligtas
Kung ginagamit mo ang bersyon na ito ng LastPass sa IE, ang pag-update mula sa LastPass ay tiyak na mag-aalaga sa isyu, kaya ang pinakamahusay na paraan upang manatiling ligtas ay i-download ito kaagad.
Pinakamahalaga, huwag itigil ang paggamit ng isang tagapamahala ng password. Kung nag-aalala ka sa LastPass, isaalang-alang ang aming iba pang Mga Editors 'Choice DashLane 2.0. Ang pag-iimbak at paglikha ng mga natatanging password ay isang napakahalagang serbisyo, at ganap na panatilihin kang ligtas sa online.
Patuloy kaming inirerekomenda ang LastPass bilang isang tagapamahala ng password, at napahanga ako sa bilis na tinalakay ang isyu sa mga nakaraang araw. Kung may iba pang mga tipsters na mayroong interesado, maaari kang mag-ulat ng mga isyu nang direkta sa LastPass mula sa kanilang website - ibababa lang sa amin ang isang linya.
