בית שעון האבטחה פגיעות של מעבר אחרון, כלומר סיסמאות חשופות, עדכן כעת

פגיעות של מעבר אחרון, כלומר סיסמאות חשופות, עדכן כעת

2024

וִידֵאוֹ: LastPass User Training for Internet Explorer (אוֹקְטוֹבֶּר 2024)

SecurityWatch אישר עם LastPass כי קיימת פגיעות בתוכנה שלה, והשאירה כמה סיסמאות נגישות. תיקון כבר שוחרר וזמין להורדה.

הפגיעות

למדנו על הפגיעות מהקורא שלנו דייויד יוז. אנו בתורו הודענו ל- LastPass שאישרו כי הבעיה נוצרה על ידי עדכון עדכני למערכת שלהם. התיקון שלהם אמור לצאת היום, ואנחנו מעודדים את כולם לעדכן את התוכנה שלהם או להוריד את הגרסה החדשה מ- LastPass. בעיה זו תשפיע רק על משתמשים ב- IE עם LastPass גירסה 2.0.20.

הקורא שלנו הודיע לנו שכאשר הוא ביצע dump זיכרון ב- Windows IE, הוא הצליח לאחזר סיסמאות LastPass המאוחסנות בפשוט טקסט. נראה כי כאשר שדות מילוי אוטומטי של מנהל הסיסמאות ב- IE, הסיסמאות הלא מוצפנות נשארות נגישות בזיכרון. נראה כי סיסמאות מההפעלות הקודמות אינן מושפעות, מכיוון שיציאה מ- IE מנקה את הזיכרון. בנוסף, סיסמאות שלא שימשו לצורך מילוי אוטומטי של שדות נשארות מוצפנות ולא ניתן לאחזר באמצעות פגיעות זו.

נראה שהבעיה משפיעה רק על משתמשי IE, כך שכולם בטוחים אלא אם כן השתמשת בדפדפן שלך כדי לאחסן סיסמאות עבורך - שעליך להפסיק לעשות.

בעוד שהנושא נשמע מפחיד, היקף הפגיעות מוגבל. LastPass אמר לאבטחה כי "נושא מסוים זה יהיה קשה מאוד לניצול - מחייב שתשתמש ב- IE, שתיכנס ל- LastPass כדי לפענח את הנתונים שלך, לבצע dump זיכרון, לחפש אחר dump dump ולמעשה לאתר הסיסמאות - הגדרנו עדיפות לתיקון זה מכיוון שאנו מעריכים את פרטיותם ואבטחתם של נתוני המשתמשים שלנו מעל לכל דבר אחר."

יתרה מזאת, קל מאוד לעשות את השלכת הזיכרון אם יש לך גישה ישירה למחשב היעד - דבר שסביר שלא יהיה לתוקף. אם תוקף יכול לגשת מרחוק למחשב שלך ולבצע את המזבלה, כנראה שיש לך עוד מה לדאוג.

להישאר בטוח

אם אתה משתמש בגרסה זו של LastPass ב- IE, העדכון מ- LastPass בוודאי ידאג לנושא, כך שהדרך הטובה ביותר להישאר מאובטחת היא להוריד אותה מיידית.

והכי חשוב, אל תפסיקו להשתמש במנהל סיסמאות. אם אתה חש בזהירות מפני LastPass, שקול את DashLane 2.0 של בחירת העורכים האחרים שלנו. אחסון ויצירת סיסמאות ייחודיות הוא שירות בעל ערך רב, והוא בהחלט ישמור אותך בטוח יותר באינטרנט.

אנו נמשיך להמליץ על LastPass כמנהל סיסמאות, והתרשמתי מהמהירות בה טופלה הבעיה בימים האחרונים. אם מישהו אחר שמעוניין למצוא עצות אחרות, אתה יכול לדווח על בעיות ישירות ל- LastPass מהאתר שלהן - או פשוט תוריד לנו שורה.