Video: LastPass | Security Dashboard (Oktober 2024)
SecurityWatch har bekreftet med LastPass at det eksisterte en sårbarhet i programvaren, noe som etterlater noen passord tilgjengelige. En oppdatering er allerede utgitt og er tilgjengelig for nedlasting.
Sårbarheten
Vi lærte om sårbarheten fra leseren David Hughes. Vi informerte på sin side LastPass som bekreftet at problemet ble opprettet ved en nylig oppdatering av systemet deres. Løsningen deres skal utgis i dag, og vi oppfordrer alle til å oppdatere programvaren sin eller laste ned den nye versjonen fra LastPass. Dette problemet berører bare brukere av IE med LastPass versjon 2.0.20.
Leseren vår informerte oss om at når han utførte en minnedump på Windows IE, kunne han hente lagrede LastPass-passord i klartekst. Det ser ut til at når passordbehandleren automatisk fyller ut felt i IE, forblir de ukrypterte passordene tilgjengelige i minnet. Passord fra forrige økter ser ikke ut til å bli påvirket, fordi det å slutte med IE renser opp minnet. I tillegg forblir passord som ikke har blitt brukt til å fylle ut felt automatisk kryptert og kan ikke hentes med dette sikkerhetsproblemet.
Problemet ser ut til å bare påvirke IE-brukere, så alle andre er trygge med mindre du har brukt nettleseren din til å lagre passord for deg - noe du bør slutte å gjøre.
Selv om problemet høres skummelt ut, er sårbarhetens omfang begrenset. LastPass fortalte sikkerhetsvakt, "denne spesielle saken ville være ekstremt vanskelig å utnytte - noe som krever at du bruker IE, at du har logget inn på LastPass for å dekryptere dataene dine, utføre en minnedump, jakte gjennom minnedumpen og faktisk finne passordene - vi har gjort å fikse dette til en prioritet fordi vi verdsetter personvernet og sikkerheten til brukerne våre data fremfor alt annet."
Videre er det langt enklere å dumpe minnet hvis du har direkte tilgang til måldatamaskinen - noe en angriper sannsynligvis ikke har. Hvis en angriper eksternt kan få tilgang til maskinen din og utføre dumpen, har du sannsynligvis mye mer å bekymre deg for.
Forbli trygg
Hvis du bruker denne versjonen av LastPass i IE, vil oppdateringen fra LastPass sikkert ta seg av problemet, så den beste måten å være sikker på er å laste ned det øyeblikkelig.
Det viktigste er at du ikke slutter å bruke en passordbehandling. Hvis du føler deg på vakt mot LastPass, kan du vurdere våre andre Editors 'Choice DashLane 2.0. Lagring og oppretting av unike passord er en veldig verdifull tjeneste, og vil absolutt holde deg tryggere på nettet.
Vi kommer til å fortsette å anbefale LastPass som passordbehandler, og jeg har blitt imponert over hastigheten problemet har blitt adressert de siste dagene. Hvis noen andre tipsters der ute er interessert, kan du rapportere problemer direkte til LastPass fra deres hjemmeside - eller bare slippe oss en linje.
