Вразливість останнього пароля, тобто паролі, оновлюється зараз

SecurityWatch підтвердив за допомогою LastPass, що в її програмному забезпеченні існує вразливість, залишаючи доступними деякі паролі. Виправлення вже випущено та доступне для завантаження.

Уразливість

Про вразливість ми дізналися від нашого читача Девіда Х'юза. Ми, в свою чергу, повідомили LastPass, який підтвердив, що випуск був створений нещодавним оновленням їхньої системи. Їх виправлення має бути випущено сьогодні, і ми радимо всім оновити своє програмне забезпечення або завантажити нову версію з LastPass. Ця проблема стосуватиметься лише користувачів IE з LastPass версії 2.0.20.

Наш читач повідомив нам, що, виконуючи дамп пам’яті в Windows IE, він міг отримати збережені паролі LastPass в простому тексті. Схоже, що коли менеджер паролів автоматично заповнює поля в IE, незашифровані паролі залишаються доступними в пам'яті. Паролі попередніх сеансів не впливають, оскільки вихід із IE очищає пам'ять. Крім того, паролі, які не використовувались для заповнення полів, залишаються зашифрованими і не можуть бути отримані за допомогою цієї вразливості.

Здається, ця проблема стосується лише користувачів IE, тому всі інші в безпеці, якщо ви не використовували веб-переглядач, щоб зберігати паролі для вас - що вам слід припинити робити.

Хоча питання звучить страшно, сфера вразливості обмежена. LastPass сказав, що слідкує за безпекою, "цю конкретну проблему буде надзвичайно важко експлуатувати - вимагаючи, щоб ви використовували IE, щоб ви ввійшли в LastPass для розшифрування даних, виконували дамп пам'яті, здійснювали полювання через дамп пам'яті та фактично знаходили паролі - ми зробили фіксацію цього пріоритетом, оскільки ми цінуємо конфіденційність та безпеку даних наших користувачів понад усе ».

Крім того, зберігання пам'яті набагато простіше зробити, якщо у вас є прямий доступ до цільового комп'ютера - те, що зловмисник навряд чи матиме. Якщо зловмисник може віддалено отримати доступ до вашої машини і виконувати дамп, то вам, мабуть, доведеться набагато більше турбуватися.

Безпека

Якщо ви використовуєте цю версію LastPass в IE, оновлення від LastPass, безумовно, піклується про проблему, тому найкращий спосіб бути захищеним - це негайно завантажити її.

Найголовніше, не припиняйте використання диспетчера паролів. Якщо ви ставитеся з обережністю до LastPass, розгляньте вибір інших редакторів DashLane 2.0. Зберігання та створення унікальних паролів - це дуже цінна послуга, і вона буде абсолютно безпечно працювати в Інтернеті.

Ми продовжуватимемо рекомендувати LastPass як менеджер паролів, і я був вражений швидкістю, з якою вирішували цю проблему протягом останніх кількох днів. Якщо будь-які інші консультанти там зацікавлені, ви можете повідомити про проблеми безпосередньо до LastPass з їх веб-сайту - або просто відкиньте нам рядок.