Paroolihaldur LastPass avaldas eelmisel nädalal turvavea parandamiseks värskenduse See paljastab varem külastatud saidile sisestatud mandaadi. Vea avastas möödunud kuul turvauurija.
LastPass lahendas 4.33.0. septembril versioonis 12 teatatud probleemi. Kuigi LastPass näitab, et värskendus tuleks rakendada automaatselt, on kasutajatel soovitatav veenduda, et nad kasutavad brauseriteenuse laienduse uusimat versiooni, eriti kui nad kasutavad brauserit, mis lubab värskendused keelata.
Blogipostituses Ferenc Kun LastPassi turvameeskonnast ütles:
"Meie meeskond uuris hiljuti viga, mis mõjutas mõnda LastPassi laiendust. Turvauurija avaldas oma aruandes piiratud hulga asjaolusid konkreetsetes brauserilaiendites, mis võimaldavad ründajal luua kliki kõrvalekaldumise stsenaariumi.
"Selle vea kasutamiseks peab LastPassi kasutaja tegema mitmeid toiminguid, sealhulgas täitma parooli LastPassi ikooniga, külastama seejärel ohustatud või pahatahtlikku saiti ja lõpuks klõpsama lehel mitu korda.
Selle saavutusega võidakse paljastada viimased saidi mandaadid, mille LastPass lõpetab. Töötasime kiiresti plaastri väljatöötamisel ja kinnitasime, et lahendus oli Tavisega täielik.
Turvauurija veaaruandes selgitatakse vea taasesitamiseks vajalikke samme. Kuna viga põhineb ainult pahatahtliku JavaScripti koodi käitamisel, ilma igasuguse muu kasutaja sekkumiseta, loetakse viga ohtlikuks ja potentsiaalselt kasutatavaks.
Häkkerid võivad meelitada kasutajaid pahatahtlikele lehtedele ja kasutage seda haavatavust varem külastatud saitide kasutajate sisestatud mandaatide väljavõtmiseks.
Kuna see pole nii keeruline, kui see kõlab, sest ründaja võib URL-i taha pahatahtliku lingi hõlpsasti peita, laske kasutajatel linki näha ja mandaadid varem külastatud saidi URL-ist välja tõmmata.
Lisaks kuigi veast tulenev võimalik kokkupuude on piiratud konkreetsete brauseritega (Chrome ja Opera), oleme kõikides brauserites rakendanud ettevaatusabinõuna
Sellest veast hoolimata Paroolihalduri kasutamine on suurepärane võimalus võrgu turvalisuse kaitsmiseks.
Vea olemasolu toob esile asjaolu, et paroolihaldurid, nagu ka kõik võrguteenused, võivad endiselt puutuda kokku turvariskidega. Parandades iga konto jaoks ainulaadse parooli loomise ja salvestamise, pakuvad paroolihaldurid paroolide taaskasutusele kriitilise alternatiivi.
Paroolihaldurid hõlbustavad ka tugevate paroolide kasutamist, kuna kasutajad ei pea neid meelde jätma.
Isegi kui veebisaidi rikkumine lekitab lihtteksti paroole, tagab paroolihaldur, et ainult üks konto oleks rikutud (juhul kui kasutajate paroolid on konkreetsed iga saidi jaoks, kus neil on konto).
Paroolihaldurite negatiivne külg on see, et kui nad ebaõnnestuvad, võivad tulemused olla kohutavad. Pole haruldane, et mõned inimesed kasutavad paroolihaldureid paljude paroolide salvestamiseks, mõned pangakontode jaoks, teised e-posti kontode jaoks jne.
Seega on hea lisada kõigile teguritele toetavatele saitidele kaheteguriline autentimine, samuti ainulaadsete tugevate paroolide kasutamine, mida te teenuste vahel kunagi uuesti ei kasuta.
Kuidas installida LastPassi Ubuntu ja derivaatidele?
Neile, kes on huvitatud paroolihalduri uusima versiooni installimisest oma süsteemi, Nad saavad seda teha, järgides alltoodud juhiseid.
Esimene asi, mida me teeme, on terminali avamine (nad saavad seda teha klahvikombinatsiooniga Ctrl + Alt + T) ja sellel täidame järgmise käsu Lastpassi uusima versiooni allalaadimiseks:
wget https://download.cloud.lastpass.com/linux/lplinux.tar.bz2
Juba alla laaditud, pakime paketi järgmiselt lahti:
tar xjvf lplinux.tar.bz2
Me pääseme loodud kataloogi ja käivitame installeri:
cd lplinux && ./install_lastpass.sh
Ma kasutasin varem LastPassi, kuid kuna avastasin Bitwardeni, mis on tasuta tarkvara ja mis on saadaval Linuxis Firefoxi või Chrome'iga ja Androidis oma rakendusega, mida LastPass ei tee, ei muuda ma seda enam millegi vastu 🙂