Casa Securitywatch La vulnerabilità di Lastpass è rimasta, ad esempio le password esposte, si aggiornano ora

La vulnerabilità di Lastpass è rimasta, ad esempio le password esposte, si aggiornano ora

Video: LastPass TUTORIAL COMPLETO Password Manager (Novembre 2024)

Video: LastPass TUTORIAL COMPLETO Password Manager (Novembre 2024)
Anonim

SecurityWatch ha confermato con LastPass l'esistenza di una vulnerabilità nel suo software, lasciando alcune password accessibili. Una patch è già stata rilasciata ed è disponibile per il download.

La vulnerabilità

Abbiamo appreso della vulnerabilità dal nostro lettore David Hughes. A sua volta, abbiamo informato LastPass che ha confermato che il problema è stato creato da un recente aggiornamento del loro sistema. La loro correzione dovrebbe essere rilasciata oggi e incoraggiamo tutti ad aggiornare il proprio software o scaricare la nuova versione da LastPass. Questo problema riguarderebbe solo gli utenti di IE con LastPass versione 2.0.20.

Il nostro lettore ci ha informato che quando ha eseguito un dump della memoria su Windows IE, è stato in grado di recuperare le password LastPass archiviate in testo normale. Sembra che quando il gestore delle password compila automaticamente i campi in IE, le password non crittografate rimangano accessibili in memoria. Le password delle sessioni precedenti non sembrano essere interessate, poiché la chiusura di IE pulisce la memoria. Inoltre, le password che non sono state utilizzate per compilare automaticamente i campi rimangono crittografate e non possono essere recuperate utilizzando questa vulnerabilità.

Il problema sembra riguardare solo gli utenti di IE, quindi tutti gli altri sono al sicuro a meno che tu non abbia utilizzato il browser per archiviare le password per te, cosa che dovresti smettere di fare.

Mentre il problema sembra spaventoso, l'ambito della vulnerabilità è limitato. LastPass ha dichiarato a Security Watch che "questo particolare problema sarebbe estremamente difficile da sfruttare: è necessario che tu stia utilizzando IE, che tu abbia effettuato l'accesso a LastPass per decrittografare i tuoi dati, eseguire un dump della memoria, cercare il dump della memoria e localizzare effettivamente le password: abbiamo posto la priorità su questo perché abbiamo valutato soprattutto la privacy e la sicurezza dei dati dei nostri utenti ".

Inoltre, scaricare la memoria è molto più semplice se si ha accesso diretto al computer di destinazione: è improbabile che un utente malintenzionato abbia. Se un utente malintenzionato può accedere in remoto al computer ed eseguire il dump, probabilmente avrai molto di più di cui preoccuparti.

Rimanere al sicuro

Se si utilizza questa versione di LastPass in IE, l'aggiornamento di LastPass risolverà sicuramente il problema, quindi il modo migliore per rimanere sicuri è scaricarlo immediatamente.

Ancora più importante, non smettere di usare un gestore di password. Se ti stai diffidando di LastPass, prendi in considerazione gli altri nostri editor DashLane 2.0. La memorizzazione e la creazione di password uniche è un servizio molto prezioso e ti renderà assolutamente più sicuro online.

Continueremo a raccomandare LastPass come gestore di password e sono rimasto colpito dalla velocità con cui il problema è stato risolto negli ultimi giorni. Se qualche altro suggeritore è interessato, puoi segnalare i problemi direttamente a LastPass dal loro sito Web o semplicemente inviarci una riga.

La vulnerabilità di Lastpass è rimasta, ad esempio le password esposte, si aggiornano ora