אנדרואיד

פגיעות של תוסף דפדפן אחרון אחרון חשפה: כיצד לשמור על בטיחות

למה כל עסק צריך הגנת סייבר?

למה כל עסק צריך הגנת סייבר?

תוכן עניינים:

Anonim

אחד המנהלים הפופולריים ביותר של סיסמאות LastPass מתמודד עם בעיות חמורות בתוספי הדפדפן שלו, מכיוון שנחשפו פגיעויות מרובות עם השירות במהלך השבוע האחרון, והם עדיין נמשכים.

הטכנולוגיה מתפתחת אי פעם, ולמרות שהיא נועדה לשפר את אורח החיים שלנו, לפעמים זה אפילו יכול להזיק במקרה של ניצול באגים מסוימים, במיוחד כשמדובר בשירות כמו LastPass, האחראים לשמור על עשרות מיליוני סיסמאות.

בשבוע שעבר, ב- 20 במרץ, חשף טאוויס אורמנדי, חוקר ב- Project Zero של גוגל, שני באגים בתוספי הדפדפן של LastPass שהפכו את המשתמשים לפגיעים לביצוע קוד מרחוק.

הפגיעויות שנחשפו השפיעו על המשתמשים העסקיים והאישי כאחד בשירות.

פגיעויות שנחשפו בשבוע האחרון?

20 במרץ: Tavis Ormandy מוצא שתי פגיעויות של ביצוע קוד מרחוק (RCE) שהשפיעו על הרחבות הדפדפן של LastPass - דבר שעלול לאפשר לתוקף לגנוב סיסמאות.

אופס, באג LastPass חדש שמשפיע על 4.1.42 (Chrome ו- FF). RCE אם אתה משתמש "רכיב בינארי", אחרת יכול לגנוב pwds. דו"ח מלא בדרך. pic.twitter.com/y92vm3Ibxd

- טאוויס אורמנדי (@taviso) 20 במרץ, 2017

21 במרץ: LastPass מאשר את הדו"ח של אורמנדי ומאשר כי הפגיעויות קיימות והצוות שלהם יעבוד לתקן אותן.

אנו מודעים לדו"ח של @taviso והצוות שלנו הציב לעקיפת הבעיה בזמן שאנו עובדים על החלטה. הישאר מעודכן לעדכונים.

- LastPass (@LastPass) 21 במרץ, 2017

22 במרץ: החברה מודיעה כי פרסמו גרסאות חדשות של Chrome (v 4.1.43) ו- Firefox (v 4.1.36) הרחבות דפדפן עם עדכוני אבטחה במקום.

הם גם ציינו כי לא נפגעו נתונים במהלך התקופה הזו ומשתמשים אינם צריכים לדאוג לשינוי האישורים שלהם. גרסאות מעודכנות של הרחבות דפדפן Microsoft Edge ואופרה ישוחררו בהמתנה לאישור החברה.

25 במרץ: Tavis Ormandy מגלה פגיעות נוספת העומדת בפני הגרסה המעודכנת של תוסף הדפדפן של Google Chrome (v 4.1.43). LastPass מכיר בפגיעות בעדכון ההכרזה על ה- 22 במרץ.

אה-חה, הייתה לי אפיפניה במקלחת הבוקר והבנתי איך להגיע לקודקס ב- LastPass 4.1.43. דו"ח וניצול מלא בדרך. pic.twitter.com/vQn20D9VCy

- טאוויס אורמנדי (@taviso) 25 במרץ, 2017

27 במרץ: LastPass פרסמה הודעה, "איננו מטפלים באופן פעיל בפגיעות. התקפה זו היא ייחודית ומתוחכמת ביותר. אנחנו לא רוצים לחשוף שום דבר ספציפי לגבי הפגיעות או התיקון שלנו שיכול לחשוף כל דבר לצדדים פחות מתוחכמים אך מצמצמים."

כיצד להישאר בטוחים?

נכון לעכשיו, LastPass אישרה כי היא פועלת לתקן את בעיות האבטחה בשירותם וניתן לצפות לתיקון מלא בקרוב. בינתיים, מומלץ למשתמשים ב- LastPass להקפיד על אמצעי הזהירות הבאים.

  • כדי להגן על אישורי ההתחברות שלהם, משתמשים מומלצים להשבית את תוספי הדפדפן בינתיים ולהשיק אתרים ישירות מכספת LastPass עד לפתירת הפגיעויות על ידי החברה.
  • הפעל אימות דו גורמי עבור כל החשבונות המציעים אפשרות, ומתן לחשבונך שכבת אבטחה נוספת למקרה שהתוקף ינצל את הפגיעות.
  • היזהר אחר התקפות דיוג. אל תלחץ על קישורים ממקורות לא מהימנים - אנשים שאתה לא מכיר
מחפש אלטרנטיבות ל- LastPass? בדוק את שלושת החלופות המובילות כאן.