Видео: LastPass | Security Dashboard (Октября 2024)
SecurityWatch подтвердил LastPass, что в его программном обеспечении была уязвимость, и некоторые пароли были доступны. Патч уже выпущен и доступен для скачивания.
Уязвимость
Мы узнали об уязвимости от нашего читателя Дэвида Хьюза. Мы, в свою очередь, сообщили LastPass, который подтвердил, что проблема возникла в результате недавнего обновления их системы. Их исправление должно быть выпущено сегодня, и мы призываем всех обновить свое программное обеспечение или загрузить новую версию с LastPass. Эта проблема затронет только пользователей IE с LastPass версии 2.0.20.
Наш читатель сообщил нам, что когда он выполнил дамп памяти в Windows IE, он смог извлечь сохраненные пароли LastPass в виде открытого текста. Кажется, что когда менеджер паролей автоматически заполняет поля в IE, незашифрованные пароли остаются доступными в памяти. Пароли из предыдущих сессий, похоже, не затрагиваются, так как выход из IE очищает память. Кроме того, пароли, которые не использовались для автозаполнения полей, остаются зашифрованными и не могут быть восстановлены с помощью этой уязвимости.
Эта проблема затрагивает только пользователей IE, поэтому все остальные находятся в безопасности, если вы не используете свой браузер для хранения паролей для вас - что вам следует прекратить делать.
Хотя проблема звучит страшно, масштаб уязвимости ограничен. LastPass сказал наблюдателям: «Эту конкретную проблему будет чрезвычайно трудно использовать - для этого требуется, чтобы вы использовали IE, чтобы вы вошли в LastPass для расшифровки ваших данных, выполнения дампа памяти, поиска по дампу памяти и фактического обнаружения пароли - мы сделали исправление этого приоритета, потому что мы ценим конфиденциальность и безопасность данных наших пользователей превыше всего ».
Кроме того, дамп памяти гораздо проще сделать, если у вас есть прямой доступ к целевому компьютеру - то, что злоумышленник вряд ли будет иметь. Если злоумышленник может получить удаленный доступ к вашей машине и выполнить дамп, то вам, вероятно, придется побеспокоиться.
Оставаться в безопасности
Если вы используете эту версию LastPass в IE, обновление от LastPass наверняка позаботится о проблеме, поэтому лучший способ сохранить безопасность - это загрузить ее немедленно.
Самое главное, не прекращайте использовать менеджер паролей. Если вы настороженно относитесь к LastPass, рассмотрите возможность выбора других редакторов DashLane 2.0. Хранение и создание уникальных паролей является очень ценным сервисом, и он будет абсолютно безопаснее в Интернете.
Мы продолжим рекомендовать LastPass в качестве менеджера паролей, и меня впечатлила скорость, с которой проблема решалась в течение последних нескольких дней. Если вас интересуют другие участники, вы можете сообщить о проблемах непосредственно в LastPass на их веб-сайте или просто напишите нам.
