A Lastpass böngésző kiterjesztésének biztonsági rése feltárt: hogyan lehet biztonságban maradni

Az egyik legnépszerűbb jelszókezelő, a LastPass súlyos problémákkal szembesül böngésző-kiterjesztéseivel, mivel a kiszolgálóval az elmúlt héten több biztonsági rést fedeztek fel, amelyek továbbra is fennállnak.

A technológia folyamatosan fejlődik, és bár ennek célja az életmódunk javítása, néha károsak lehetnek bizonyos hibák kizsákmányolása esetén is, különösen amikor olyan szolgáltatásról van szó, mint például a LastPass, amely több tízmillió jelszó védelméért felel.

A múlt héten, március 20-án Tavis Ormandy, a Google Project Zero kutatója két hibát fedezett fel a LastPass böngésző-bővítményeiben, amelyek kiszolgáltatottá tették a felhasználókat a távoli kódfuttatáshoz.

A feltárt sebezhetőség mind a szolgáltatás üzleti, mind személyes felhasználóit érintette.

A múlt héten feltárt biztonsági rések?

Március 20.: Tavis Ormandy két távoli kódvégrehajtási (RCE) biztonsági rést talál, amelyek befolyásolták a LastPass böngésző-kiterjesztéseit - lehetővé téve a támadó számára a jelszavak ellopását.

Hoppá, új LastPass hiba, amely a 4.1.42-es verziót (Chrome és FF) érinti. RCE, ha a „bináris összetevőt” használja, egyébként pwds-kat lophat. Teljes jelentés úton. pic.twitter.com/y92vm3Ibxd

- Tavis Ormandy (@taviso), 2017. március 20

Március 21.: A LastPass elismeri Ormandia jelentését és megerősíti, hogy a sérülékenységek fennállnak, és csapatuk azon fog dolgozni, hogy ezeket kijavítsák.

Tisztában vagyunk a @taviso jelentéssel, és csapatunk megoldást dolgozott ki miközben állásfoglalást dolgozunk. Kísérje figyelemmel a frissítéseket.

- LastPass (@LastPass), 2017. március 21

Március 22.: A vállalat bejelenti, hogy kiadta a Chrome (v 4.1.43) és a Firefox (v 4.1.36) böngésző bővítményeinek új verzióit, a biztonsági frissítésekkel.

Azt is megemlítették, hogy ebben az időszakban semmilyen adat nem volt veszélyben, és a felhasználóknak nem kell aggódniuk a hitelesítő adataik megváltoztatása miatt. A Microsoft Edge és az Opera böngésző bővítményeinek frissített verziói a cég jóváhagyásáig kerülnek kiadásra.

Március 25.: A Tavis Ormandy felfedez egy másik sebezhetőséget, amelyet a Google Chrome böngészőbővítmény frissített verziója (v.4.143) érint. A LastPass elismeri a sebezhetőséget a március 22-i bejelentés frissítésében.

Ó, ha, ma reggel egy epifánia volt a zuhany alatt, és rájöttem, hogyan lehet beszerezni a codeexec-et a LastPass 4.1.43-ban. Teljes jelentés és felhasználás útközben. pic.twitter.com/vQn20D9VCy

- Tavis Ormandy (@taviso), 2017. március 25

Március 27.: A LastPass nyilatkozatot adott ki : „Nem foglalkozunk aktívan a sebezhetőséggel. Ez a támadás egyedülálló és nagyon kifinomult. Nem akarunk nyilvánosságra hozni valamit a sebezhetőségről vagy annak javításáról, amely bármit felfedhetne a kevésbé kifinomult, ám félénk felek számára. ”

Hogyan lehet biztonságban maradni?

Jelenleg a LastPass megerősítette, hogy a biztonsági problémák javításán dolgozik, és hamarosan várható a teljes javítás. Időközben a LastPass felhasználók számára javasolt, hogy vegye figyelembe a következő óvintézkedéseket.

• A bejelentkezési hitelesítő adataik védelme érdekében a felhasználóknak javasolják időközben letiltani a böngészőbővítményeket, és közvetlenül a LastPass-tárolóból elindítani a webhelyeket, amíg a vállalat nem oldja meg a biztonsági réseket.
• Kapcsolja be a kéttényezős hitelesítést minden olyan fióknál, amely ezt a lehetőséget kínálja, és fiókja számára hozzáadott biztonsági réteget biztosít arra az esetre, ha a sebezhetőséget kihasználja egy támadó.
• Vigyázz az adathalász támadásokra. Ne kattintson a megbízhatatlan forrásokból származó linkekre - olyan emberekre, akiket nem ismersz

Alternatívákat keres a LastPass-hoz? Itt megtekintheti a 3 legfontosabb alternatívát.