गंभीर सुरक्षा समस्येचे निराकरण करण्यासाठी लास्टपास 4.33.0 ची नवीन आवृत्ती आली आहे

संकेतशब्द व्यवस्थापक सुरक्षा बगचे निराकरण करण्यासाठी लास्टपॅसने मागील आठवड्यात एक अद्यतन जारी केला यापूर्वी भेट दिलेल्या साइटवर प्रविष्ट केलेली क्रेडेन्शियल्स उघडकीस आणतात. सुरक्षा शोधकर्त्याने हा दोष गेल्या महिन्यात शोधला होता.

लास्टपासने 4.33.0 सप्टेंबर रोजी आवृत्ती 12 मध्ये नोंदविलेल्या समस्येचे निराकरण केले. जरी लास्टपास हे स्वयंचलितरित्या लागू केले जावे असे सूचित करते, तरीही वापरकर्त्यांनी ब्राउझर सेवा विस्ताराची नवीनतम आवृत्ती वापरत असल्याचे सुनिश्चित करण्याची शिफारस केली जाते, विशेषत: जर ते ब्राउझर वापरत असतील जे अद्यतनांना अक्षम केले जाण्याची परवानगी देईल.

ब्लॉग पोस्टमध्ये, लास्टपॅस सुरक्षा संघातील फरेनक कुन म्हणाले:

“आमच्या कार्यसंघाने अलीकडेच तपासणी केली आणि बग निश्चित केला ज्यामुळे काही लास्टपास विस्तारांवर परिणाम झाला. एका सुरक्षा संशोधकाने त्याच्या अहवालातील विशिष्ट ब्राउझर विस्तारातील परिस्थितीचा मर्यादित सेट उघड केला ज्यामुळे आक्रमणकर्त्यास क्लिक डिफ्लेक्शन परिदृश्य तयार करता येऊ शकेल.

“या बगचा उपयोग करण्यासाठी, लास्टपास वापरकर्त्याने लास्टपासच्या चिन्हासह संकेतशब्द भरणे, नंतर तडजोडीच्या किंवा दुर्भावनायुक्त साइटला भेट देण्यासह बर्‍याच क्रिया केल्या पाहिजेत आणि शेवटी एकाधिक वेळी पृष्ठ क्लिक करावे लागेल.

या पराक्रमामुळे अंतिम साइट क्रेडेन्शियल्स होऊ शकतात जे लास्टपासने उघडकीस आलेले पूर्ण केले. आम्ही पॅच विकसित करण्यावर त्वरेने कार्य केले आणि टॅव्हिससह समाधान पूर्ण झाले असल्याचे सत्यापित केले.

सुरक्षा संशोधकाच्या बग अहवालामध्ये बगच्या पुनरुत्पादनासाठी आवश्यक असलेल्या चरणांची माहिती दिली आहे. बग केवळ दुर्भावनापूर्ण जावास्क्रिप्ट कोड चालविण्यावर आधारित आहे, इतर कोणत्याही वापरकर्त्याच्या परस्परसंवादाशिवाय, बग धोकादायक आणि संभाव्य शोषणकारक मानला जातो.

हॅकर्स वापरकर्त्यांना दुर्भावनायुक्त पृष्ठांवर आकर्षित करू शकत होते आणि पूर्वी भेट दिलेल्या साइटवरील वापरकर्त्यांद्वारे प्रविष्ट केलेली क्रेडेन्शियल्स काढण्यासाठी या असुरक्षिततेचा फायदा घ्या.

हे जितके वाटेल तितके अवघड नाही, कारण एखादा हल्लेखोर सहजपणे एखाद्या URL च्या मागे दुर्भावनायुक्त दुवा लपवू शकतो, वापरकर्त्यांना दुवा पहाण्यास आणि आधी भेट दिलेल्या साइटच्या URL व क्रेडेन्शियल्स मिळवू शकतो.

तसेच, जरी बगमुळे उद्भवणारी कोणतीही संभाव्यता विशिष्ट ब्राउझरपुरती मर्यादित आहे (क्रोम आणि ऑपेरा), आम्ही सर्व ब्राउझरमध्ये खबरदारीचा उपाय म्हणून अंमलात आणला आहे

या त्रुटी असूनही, संकेतशब्द व्यवस्थापक वापरणे ऑनलाइन सुरक्षिततेचे संरक्षण करण्याचा एक चांगला मार्ग आहे.

कोणत्याही ऑनलाइन सेवेप्रमाणे संकेतशब्द व्यवस्थापक अद्याप सुरक्षिततेच्या समस्येस सामोरे जाऊ शकतात या वस्तुस्थितीवर बगचे अस्तित्व अधोरेखित करते. प्रत्येक खात्यासाठी एक अद्वितीय संकेतशब्द तयार करणे आणि संग्रहित करणे सुलभ करून संकेतशब्द व्यवस्थापक संकेतशब्द पुनर्वापर करण्यासाठी एक गंभीर विकल्प प्रदान करतात.

संकेतशब्द व्यवस्थापक सशक्त संकेतशब्द वापरणे सुलभ देखील करतात कारण वापरकर्त्यांनी त्यांना लक्षात ठेवण्याची आवश्यकता नाही.

जरी वेबसाइट उल्लंघनात साधा मजकूर संकेतशब्द लिक झाला असला तरीही संकेतशब्द व्यवस्थापक केवळ एका खात्यात तडजोड केली असल्याचे सुनिश्चित करते (जर वापरकर्त्यांचे संकेतशब्द त्यांच्याकडे खाते असलेल्या प्रत्येक साइटसाठी विशिष्ट असतील तर).

संकेतशब्द व्यवस्थापकांची नकारात्मक बाजू अशी आहे की जर ते अयशस्वी झाले तर परिणाम भयानक असू शकतात. बर्‍याच संकेतशब्द संचयित करण्यासाठी काही लोक संकेतशब्द व्यवस्थापकांचा वापर करतात, काही बँक खात्यांसाठी, काही ईमेल खात्यांसाठी इत्यादी सामान्य नाहीत.

म्हणून त्यांना समर्थन देणार्‍या सर्व साइटवर दोन घटक प्रमाणीकरण जोडणे चांगली कल्पना आहे, तसेच अद्वितीय मजबूत संकेतशब्द वापरणे जे आपण कधीही सेवा दरम्यान पुन्हा वापरणार नाही.

उबंटू आणि डेरिव्हेटिव्ह्जवर लास्टपास कसे स्थापित करावे?

त्यांच्या सिस्टमवर या संकेतशब्द व्यवस्थापकाची नवीनतम आवृत्ती स्थापित करण्यात सक्षम होण्यास स्वारस्य असलेल्यांसाठी, आम्ही खाली सामायिक केलेल्या सूचनांचे अनुसरण करून ते हे करु शकतात.

टर्मिनल उघडणे ही आपण पहिली गोष्ट करणार आहोत (ते ते Ctrl + Alt + T की संयोगाने करू शकतात) आणि त्यावर आपण पुढील आज्ञा कार्यान्वित करणार आहोत लास्टपासची नवीनतम आवृत्ती डाउनलोड करण्यासाठी:

wget https://download.cloud.lastpass.com/linux/lplinux.tar.bz2

आधीच डाउनलोड केलेले, आता आम्ही यासह पॅकेज अनझिप करणार आहोत:

tar xjvf lplinux.tar.bz2

आम्ही तयार केलेल्या निर्देशिकेत प्रवेश करतो आणि यासह इंस्टॉलर चालवितो:

cd lplinux && ./install_lastpass.sh