Vídeo: LastPass - Master Password Recovery - SMS (Setembre 2024)
SecurityWatch ha confirmat amb LastPass que existia una vulnerabilitat en el seu programari, deixant accessibles algunes contrasenyes. Ja s’ha alliberat un pegat i ja es pot descarregar.
La vulnerabilitat
Hem sabut sobre la vulnerabilitat del nostre lector David Hughes. Al seu torn, vam informar a LastPass que va confirmar que el problema va ser creat per una actualització recent del seu sistema. La seva correcció hauria de ser llançada avui, i animem a tothom a actualitzar el seu programari o a descarregar la nova versió de LastPass. Aquest problema només afectaria els usuaris d’IE amb LastPass versió 2.0.20.
El nostre lector ens va informar que quan realitzava un dump de memòria a Windows IE, va poder recuperar les contrasenyes de LastPass emmagatzemades en un text complet. Sembla que quan els gestors de contrasenyes omplen els camps a IE, les contrasenyes no xifrades romanen accessibles a la memòria. Sembla que les contrasenyes de sessions anteriors no es veuen afectades, ja que deixar l'IE es neteja la memòria. A més, les contrasenyes que no s'han utilitzat per omplir els camps automàtics romanen xifrades i no es poden recuperar mitjançant aquesta vulnerabilitat.
El problema només afecta els usuaris d’IE, de manera que tots els altres són segurs, tret que hagis estat utilitzant el navegador per emmagatzemar contrasenyes, cosa que hauríeu de deixar de fer.
Si bé el problema sona espantós, l’abast de la vulnerabilitat és limitat. LastPass va dir a Security Watch: "aquest problema particular seria extremadament difícil d'explotar; requereix que utilitzeu IE, que us heu connectat a LastPass per desxifrar les vostres dades, realitzar un dump de memòria, caçar a través del dump de memòria i ubicar-los en realitat. les contrasenyes: hem fixat com a prioritat aquesta solució perquè valorem la privacitat i la seguretat de les dades dels nostres usuaris per sobre de tot."
A més, és molt més fàcil fer-ne la memòria si teniu accés directe a l’ordinador objectiu, cosa que és poc probable que tingui un atacant. Si un atacant pot accedir de forma remota a la vostra màquina i realitzar el bolcat, probablement haureu de preocupar-vos.
Mantenir-se segur
Si utilitzeu aquesta versió de LastPass a IE, l'actualització de LastPass s'ocupa del problema, de manera que la millor manera de mantenir-se segur és descarregar-la immediatament.
El més important, no deixeu d’utilitzar un gestor de contrasenyes. Si us preocupau de LastPass, considereu els nostres editors 'Choice DashLane 2.0. L’emmagatzematge i la creació de contrasenyes úniques són un servei molt valuós i us mantindran absolutament més segurs en línia.
Continuarem recomanant LastPass com a gestor de contrasenyes i m’ha impressionat la rapidesa amb la qual s’ha tractat el problema durant els últims dies. Si hi ha altres tipsters que hi estiguin interessats, podeu informar dels problemes directament a LastPass des del seu lloc web, o bé simplement deixar-nos una línia.
