A jelszókezelő A LastPass a múlt héten kiadott egy frissítést a biztonsági hiba kijavítására Ez feltárja a korábban meglátogatott webhelyen megadott hitelesítő adatokat. A hibát a múlt hónapban fedezte fel egy biztonsági kutató.
A LastPass megoldotta a 4.33.0 verzióban jelentett problémát szeptember 12-én. Bár a LastPass azt jelzi, hogy a frissítést automatikusan végre kell hajtani, a felhasználóknak ajánlott megbizonyosodni arról, hogy a böngésző szolgáltatás-bővítményének legújabb verzióját használják-e, különösen, ha olyan böngészőt használnak, amely lehetővé teszi a frissítések letiltását.
Egy blogbejegyzésben Kun Ferenc a LastPass biztonsági csapatától azt mondta:
„Csapatunk nemrégiben megvizsgált és kijavított egy hibát, amely hatással volt a LastPass néhány kiterjesztésére. Egy biztonsági kutató jelentésében korlátozott körülményeket tárt fel bizonyos böngészőbővítményekben, amelyek lehetővé tehetik a támadók számára, hogy kattintási eltérítési forgatókönyvet hozzanak létre.
„A hiba kiaknázásához a LastPass felhasználónak számos műveletet kell végrehajtania, beleértve a jelszó kitöltését a LastPass ikonnal, majd egy megsértett vagy rosszindulatú webhely meglátogatását, végül pedig többször kell kattintania az oldalra.
Ez a bravúr azt eredményezheti, hogy a LastPass befejezi az utolsó webhely-hitelesítő adatokat. Gyorsan dolgoztunk egy javítás fejlesztésén és ellenőriztük, hogy a megoldás teljes-e a Tavis-szal.
A biztonsági kutató hibabejelentése ismerteti a hiba reprodukálásához szükséges lépéseket. Mivel a hiba csak rosszindulatú JavaScript-kód futtatásán alapul, minden más felhasználói beavatkozás nélkül, a hibát veszélyesnek és potenciálisan kihasználhatónak tekintik.
A hackerek rosszindulatú oldalakra csábíthatják a felhasználókat és használja ki ezt a biztonsági rést a felhasználók által a korábban felkeresett webhelyeken megadott hitelesítő adatok kibontásához.
Mivel ez nem olyan nehéz, mint amilyennek hangzik, mivel a támadó könnyen elrejtheti egy rosszindulatú linket egy URL mögé, tegye a felhasználókat arra, hogy lássák a linket, és kivonják a hitelesítő adatokat egy korábban meglátogatott webhely URL-jéből.
Ezen túlmenően, bár a hiba miatti potenciális expozíció csak bizonyos böngészőkre korlátozódik (Chrome és Opera), elővigyázatosságból minden böngészőben megvalósítottuk
E hiba ellenére A jelszókezelő használata nagyszerű módja az online biztonság védelmének.
A hiba megléte rávilágít arra, hogy a jelszókezelők, mint bármely online szolgáltatás, továbbra is ki vannak téve biztonsági problémáknak. Azáltal, hogy megkönnyíti minden fiókhoz egyedi jelszó létrehozását és tárolását, a jelszókezelők kritikus alternatívát kínálnak a jelszavak újrafelhasználása helyett.
A jelszókezelők megkönnyítik az erős jelszavak használatát is, mert a felhasználóknak nem kell megjegyezni őket.
Még akkor is, ha a weboldal megsértése miatt a sima szöveges jelszavak szivárognak ki, a jelszókezelő gondoskodik arról, hogy csak egy fiók sérüljön (abban az esetben, ha a felhasználók jelszavai minden olyan webhelyre jellemzőek, ahol van fiókjuk).
A jelszókezelők hátránya, hogy ha kudarcot vallanak, az eredmények szörnyűek lehetnek. Nem ritka, hogy egyesek sok jelszó tárolásához jelszókezelőket használnak, mások bankszámlákhoz, mások e-mail fiókokhoz stb.
Ezért jó öt tényezővel kiegészíteni az összes támogató webhelyet, valamint egyedi, erős jelszavakat használ, amelyeket soha nem fog újra felhasználni a szolgáltatások között.
Hogyan telepítsük a LastPass-t az Ubuntu-ra és a derivatívákra?
Azok számára, akik érdeklődnek a jelszókezelő legújabb verziójának telepítése iránt, Megtehetik az alábbiakban megosztott utasítások követésével.
Az első dolog, amit meg fogunk tenni, egy terminál megnyitása (meg tudják csinálni a Ctrl + Alt + T billentyűkombinációval) és rajta fogjuk végrehajtani a következő parancsot a Lastpass legújabb verziójának letöltéséhez:
wget https://download.cloud.lastpass.com/linux/lplinux.tar.bz2
Már letöltötte, most kibontjuk a csomagot a következőkkel:
tar xjvf lplinux.tar.bz2
Hozzáférünk a létrehozott könyvtárhoz és futtatjuk a telepítőt:
cd lplinux && ./install_lastpass.sh
Korábban használtam a LastPass-ot, de mivel felfedeztem a Bitwarden szoftvert, amely ingyenes szoftver, és elérhető Linux-ban Firefox vagy Chrome-mal, illetve Android-ban a saját alkalmazásával, amelyre a LastPass nem, már nem változtatom semmire 🙂