Video: LastPass | Security Dashboard (Oktober 2024)
SecurityWatch har bekræftet med LastPass, at der eksisterede en sårbarhed i dens software, hvilket efterlader nogle adgangskoder tilgængelige. En patch er allerede frigivet og kan downloades.
Sårbarheden
Vi lærte om sårbarheden fra vores læser David Hughes. Vi informerede igen LastPass, der bekræftede, at problemet blev oprettet ved en nylig opdatering af deres system. Deres rettelse skulle frigives i dag, og vi opfordrer alle til at opdatere deres software eller downloade den nye version fra LastPass. Dette problem påvirker kun brugere af IE med LastPass version 2.0.20.
Vores læser informerede os om, at når han udførte en hukommelsesdump på Windows IE, var han i stand til at hente gemte LastPass-adgangskoder i klartekst. Det ser ud til, at når adgangskodeadministratoren automatisk udfylder felter i IE, forbliver de ukrypterede adgangskoder tilgængelige i hukommelsen. Adgangskoder fra tidligere sessioner ser ikke ud til at blive påvirket, da ophør af IE renser hukommelsen. Derudover forbliver adgangskoder, der ikke er brugt til automatisk udfyldning af felter, krypterede og kan ikke hentes ved hjælp af denne sårbarhed.
Problemet ser ud til kun at påvirke IE-brugere, så alle andre er sikre, medmindre du har brugt din browser til at gemme adgangskoder til dig - hvilket du skal stoppe med at gøre.
Selvom problemet lyder skræmmende, er sårbarhedens omfang begrænset. LastPass fortalte sikkerhedsvagten, "netop dette problem ville være ekstremt vanskeligt at udnytte - hvilket kræver, at du bruger IE, at du er logget ind på LastPass for at dekryptere dine data, udføre en hukommelsesdump, jage gennem hukommelsesdumpen og faktisk finde adgangskoder - vi har gjort løsning af dette til en prioritet, fordi vi værdsætter privatlivets fred og sikkerhed for vores brugers data frem for alt andet."
Desuden er det langt nemmere at dumpe hukommelsen, hvis du har direkte adgang til målcomputeren - noget som en angriber sandsynligvis ikke har. Hvis en angriber kan få fjernadgang til din maskine og udføre dumpet, har du sandsynligvis meget mere at bekymre dig om.
Forbliver i sikkerhed
Hvis du bruger denne version af LastPass i IE, vil opdateringen fra LastPass helt sikkert tage sig af problemet, så den bedste måde at forblive sikker på er at downloade det med det samme.
Det vigtigste er, at du ikke holder op med at bruge en adgangskodemanager. Hvis du føler dig på vagt over for LastPass, skal du overveje vores andre Editors 'Choice DashLane 2.0. Lagring og oprettelse af unikke adgangskoder er en meget værdifuld service og vil absolut holde dig mere sikker online.
Vi fortsætter med at anbefale LastPass som en administratoradgangskode, og jeg har været imponeret over den hastighed, hvorpå problemet er blevet løst i de sidste par dage. Hvis andre tipsters derude er interesserede, kan du rapportere problemer direkte til LastPass fra deres hjemmeside - eller bare drop us en linje.
