Den nye version af LastPass 4.33.0 ankommer til at løse et alvorligt sikkerhedsproblem

Darkcrizt

4 minutter

LastPass

Adgangskodeadministratoren LastPass, udgav en opdatering i sidste uge for at rette en sikkerhedsfejl Det afslører legitimationsoplysninger, der er indtastet på et tidligere besøgt websted. Fejlen blev opdaget i sidste måned af en sikkerhedsforsker.

LastPass løste problemet rapporteret i version 4.33.0 den 12. september. Selvom LastPass angiver, at opdateringen skal anvendes automatisk, anbefales det, at brugerne sikrer, at de bruger den nyeste version af browsertjenesteudvidelsen, især hvis de bruger en browser, der gør det muligt at deaktivere opdateringer.

I et blogindlæg, Ferenc Kun fra LastPass-sikkerhedsteamet sagde:

”Vores team undersøgte for nylig og fikserede en fejl, der påvirkede nogle LastPass-udvidelser. En sikkerhedsforsker afslørede i sin rapport et begrænset sæt omstændigheder i specifikke browserudvidelser, der kunne give en hacker mulighed for at oprette et klikafbøjningsscenarie.

“For at udnytte denne fejl skal en LastPass-bruger udføre en række handlinger, herunder udfylde en adgangskode med LastPass-ikonet, derefter besøge et kompromitteret eller ondsindet websted og til sidst skulle klikke på siden flere gange.

Denne bedrift kan resultere i, at de sidste webstedsoplysninger, som LastPass gennemfører, bliver eksponeret. Vi arbejdede hurtigt på at udvikle en patch og verificerede, at løsningen var komplet med Tavis.

Sikkerhedsforskerens fejlrapport forklarer de trin, der kræves for at reproducere bugten. Da fejlen kun er baseret på at køre skadelig JavaScript-kode uden nogen anden brugerinteraktion, betragtes fejlen som farlig og potentielt udnyttelig.

LastPass1

Hackere kunne lokke brugere til ondsindede sider og udnytte denne sårbarhed til at udtrække de legitimationsoplysninger, der er indtastet af brugere på tidligere besøgte websteder.

Da det ikke er så svært, som det lyder, fordi en angriber let kunne skjule et ondsindet link bag en URL, får brugerne til at se linket og udtrække legitimationsoplysningerne fra URL'en til et tidligere besøgt websted.

Derudover skønt enhver potentiel eksponering på grund af fejlen er begrænset til specifikke browsere (Chrome og Opera), har vi implementeret som en sikkerhedsforanstaltning i alle browsere

På trods af denne fejl Brug af en adgangskodeadministrator er en fantastisk måde at beskytte online sikkerhed på.

Eksistensen af ​​fejlen fremhæver det faktum, at adgangskodeadministratorer, som enhver onlinetjeneste, stadig kan blive udsat for sikkerhedsproblemer. Ved at gøre det let at oprette og gemme en unik adgangskode til hver konto giver adgangskodeadministratorer et kritisk alternativ til genbrug af adgangskoder.

Adgangskodeadministratorer gør det også let at bruge stærke adgangskoder, fordi brugerne ikke behøver at huske dem.

Selvom webstedsbruddet lækker almindelige tekstadgangskoder, sørger adgangskodeadministratoren for, at kun en konto er kompromitteret (hvis brugernes adgangskoder er specifikke for hvert sted, hvor de har en konto).

Ulempen ved adgangskodeadministratorer er, at hvis de fejler, kan resultaterne være dystre. Det er ikke ualmindeligt, at nogle mennesker bruger adgangskodeadministratorer til at gemme mange adgangskoder, nogle til bankkonti, andre til e-mail-konti osv.

Så det er en god ide at tilføje tofaktorautentificering til alle websteder, der understøtter dem, samt at bruge unikke stærke adgangskoder, som du aldrig vil genbruge mellem tjenesterne.

Hvordan installeres LastPass på Ubuntu og derivater?

For dem der er interesserede i at kunne installere den nyeste version af denne adgangskodeadministrator på deres system, De kan gøre det ved at følge de instruktioner, vi deler nedenfor.

Den første ting, vi skal gøre, er at åbne en terminal (de kan gøre det med tastekombinationen Ctrl + Alt + T) og på den vil vi udføre følgende kommando for at downloade den nyeste version af Lastpass:

wget https://download.cloud.lastpass.com/linux/lplinux.tar.bz2

Allerede downloadet, nu skal vi pakke pakken ud med:

tar xjvf lplinux.tar.bz2

Vi får adgang til den oprettede mappe og kører installationsprogrammet med:

cd lplinux && ./install_lastpass.sh

Efterlad din kommentar

Din e-mailadresse vil ikke blive offentliggjort. Obligatoriske felter er markeret med *

*

*

  1. Ansvarlig for dataene: Miguel Ángel Gatón
  2. Formålet med dataene: Control SPAM, management af kommentarer.
  3. Legitimering: Dit samtykke
  4. Kommunikation af dataene: Dataene vil ikke blive kommunikeret til tredjemand, undtagen ved juridisk forpligtelse.
  5. Datalagring: Database hostet af Occentus Networks (EU)
  6. Rettigheder: Du kan til enhver tid begrænse, gendanne og slette dine oplysninger.

  1.   A. sagde han
    siden 5 år

    Jeg brugte tidligere LastPass, men da jeg opdagede Bitwarden, som er gratis software og tilgængelig i Linux med Firefox eller Chrome og i Android med sin egen applikation, som LastPass ikke gør, ændrer jeg det ikke længere til noget 🙂

    Svar på A.