A LastPass távoli kompromisszum biztonsági rése

• Kategória: Biztonság

Próbálja Ki A Műszerünket A Problémák Kiküszöbölésére

Válassza Ki Az Operációs Rendszert Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Válasszon Kivetési Programot (Opcionálisan) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Írja Le A Problémáját

Kap Egy Választ

Küldje El E -Mailben Mutasd Meg Az Oldalon

A LastPass-nak egy csomó kritikus problémája van, amelyek közül legalább az egyik lehetővé teszi a támadók számára, hogy távolról veszélyeztessék a jelszókezelőt szerint a Tavis Ormandy Google kutatójának.

LastPass az egyik legnépszerűbb online jelszókezelő szolgáltatás a mai interneten. A szolgáltatás kiterjesztéseket kínál különféle böngészőkhöz, mobilalkalmazásokhoz, és dedikált megoldásokat kínál különféle operációs rendszerekhez és eszközökhöz.

A Tavis Ormandy teljes jelentést küldött a LastPass-nak, és úgy tűnik, hogy a vállalat az elemzés és a probléma javításán dolgozik az írás idején.

A kérdéseket még nem tették nyilvánosságra. Noha ezt helyesen kell megtenni, amíg meg nem javulnak, ez azt jelenti, hogy a LastPass felhasználók nem igazán tudják, hogy a probléma enyhíthető-ea javítás megszerzéséig.

frissítés : A LastPass kiadott egy biztonsági frissítést a Firefox kiegészítő számára. Szerint a hivatalos webhely blogbejegyzéséhez a támadó rábuktathat egy LastPass-felhasználót egy rosszindulatú webhelyre, hogy végrehajtsa a háttérben a LastPass-műveleteket anélkül, hogy a felhasználó tudna róluk. Ezt javítottuk a Firefox LastPass 4.0 verziójában.

A bejelentett problémával kapcsolatos további információk a Project Zero fórum a Chromium.org oldalán.

A LastPass távoli kompromisszum biztonsági rése

Az egyetlen megadott információ a következő kettő tweet:

Valóban az emberek használják ezt az utolsó lépést? Gyors pillantást vettem egy csomó nyilvánvaló kritikai problémára. Küldök jelentést hamarosan.

A teljes jelentést elküldték a LastPass-nak, most dolgoznak rajta. Igen, ez egy teljes távoli kompromisszum. Igen, megígérem, hogy megnézem az 1Password-ot.

Ezt figyelembe véve nem egyértelmű, hogy az olyan szolgáltatások, mint a két tényezős hitelesítés vagy más biztonsági kiegészítők használata védik-e a felhasználókat és az adatokat a támadásoktól. Valójában még az sem világos, hogy a LastPass hálózatát és infrastruktúráját, a böngésző kiterjesztését, a mobil alkalmazásokat vagy más termékeket érinti-e a biztonsági rés.

Nagyon valószínű, hogy csak a böngésző kiterjesztését érinti, figyelembe véve, hogy valószínűbb, hogy Tavis megnézte, mivel rendelkezésre áll a Chrome böngésző számára.

A biztonsági kutató a következő jelszókezelőre, az 1Password-re állította a figyelmét, amely egy Twitter-üzenet szerint a következő.

A jelszókezelők kritikus adatokat tárolnak. Ez teszi őket a felhasználó számára a legfontosabb programok és a támadók jövedelmező célpontjai közé.

A nyilvánosságra hozott biztonsági kérdés nem az első esemény a LastPass történetében. 2015-ben a LastPass megerősítette ezt gyanús tevékenységet észlelt a vállalati hálózaton . Csak mostanában, egy másik kérdés jelentették és rögzítették, amely lehetővé tette a támadók számára a jelszavak kibontását a kiterjesztés automatikus kitöltési funkciójával.

A LastPass általában nagyon reagál és gyors, amikor a vállalati termékeket érintő biztonsági kérdések javításáról van szó. A cikk frissül, amikor új információk merülnek fel.