Lastpass: Kλείνει τρύπα ασφαλείας που επέτρεπε κακόβουλη πρόσβαση
Sep 18, 2019
Μια αναβάθμιση για την γνωστή εφαρμογή διαχείρισης κωδικών Lastpass είναι διαθέσιμη και κλείνει ενα κενό ασφαλείας που επέτρεπε σε κακόβουλες σελίδες να αποκτήσουν πρόσβαση στον τελευταίο κωδικό που έκανε χρήση ο χρήστης μέσω του add in της εφαρμογής για τους φυλλομετρητές (browsers) Chrome και Opera.
Το κενό βρέθηκε απο τον Tavis Ormandy, ερευνητή ασφαλείας της ομάδας project zero της Google, ο όποιος και το γνωστοποίησε στην εταιρία πίσω απο το Lastpass στα τέλη Αυγούστου.
Σύμφωνα με την εταιρία το κενό διορθώθηκε στις 13 Σεπτεμβρίου και εχει γίνει αναβάθμιση αυτόματα για όλους τους browsers, καλό θα είναι οι χρήστες της εφαρμογής να κάνουν έναν έλεγχο πως έχει γίνει η αναβάθμιση, η έκδοση που θα πρέπει να έχει το add in είναι 4.33.0 και πάνω.
Το κενό επέτρεπε σε ενα κακόβουλο site να αποκτήσει πρόσβαση στα προσωρινά δεδομένα της cache της εφαρμογής.
LastPass could leak the last used credentials due to a cache not being updated. This was because you can bypass the tab credential cache being populated by including the login form in an unexpected way! https://t.co/bfLdDzSWS5
— Tavis Ormandy (@taviso) September 16, 2019
Δεν υπάρχουν στοιχεία αν κάποιος είχε εκμεταλλευτεί αυτό το κενό μέχρι στιγμής.
Οι διάφοροι Password managers είναι τις πιο πολλές φορές απαραίτητοι στην εποχή μας, αλλά καλό είναι να γνωρίζουμε πως και αυτοί όπως όλες οι άλλες υπηρεσίες ή προγράμματα μπορεί να έχουν κενά ασφαλείας.
Καλό θα είναι εφόσον υπάρχει διαθέσιμο να γίνεται χρήση και κάποιου τρόπου έλεγχου ταυτότητας δύο παραγόντων (2fa) που και αυτό φυσικά δεν είναι 100% χωρίς κενά ασφαλείας.
[via]
Labels: Hacking, Internet, News, Passwords, Security, Updates
0 Comments:
![[Valid Atom 1.0]](https://1.bp.blogspot.com/-fG8cTvsVKPE/Xh7SQm9ylMI/AAAAAAAATNQ/q9GFKOwU4d4NEVnk3VU6CYlc2574PXfbACLcBGAsYHQ/s1600/4l99vk9.png "Validate my Atom 1.0 feed"){kind=small}
Post a Comment