LastPass hat eine Reihe von kritischen Problemen, von denen mindestens eines den Angreifer Kompromiss der Passwort-manager Remote-laut Google-Forscher Tavis Ormandy.
LastPass ist einer der beliebtesten online-Passwort-management-Dienste auf dem Internet heute. Der service bietet Erweiterungen für verschiedene Browser, mobile apps und spezielle Lösungen für verschiedene Betriebssysteme und Geräte.
Einen vollständigen Bericht, der geschickt wurde, um LastPass von Tavis Ormandy und es scheint, dass das Unternehmen arbeitet an der Analyse und Behebung der Probleme zu der Zeit des Schreibens.
Die Probleme haben nicht gewesen veröffentlicht noch. Während das ist die richtige Sache zu tun, bis Sie behoben sind, es bedeutet, dass LastPass-Benutzer nicht wirklich wissen, wenn das Problem gemildert werden kann, bis ein Update bereitgestellt wird.
Update: LastPass veröffentlicht ein Sicherheits-update für Firefox-add-on. Laut einem blog-post auf der offiziellen Website, kann ein Angreifer locken ein LastPass-Benutzer zu einer schädlichen Website zu führen LastPass Aktionen im hintergrund, ohne den Benutzer zu wissen über Sie. Dies wurde behoben in LastPass 4.0 für Firefox.
Weitere Informationen über das gemeldete Problem sind auf der Project Zero forum über an Chromium.org.
LastPass Kompromittierung Schwachstelle
Die einzige information, die bereitgestellt werden, sind die folgenden beiden tweets:
Werden die Leute wirklich mit diesem lastpass Sache? Ich nahm einen schnellen Blick und können sehen, eine Reihe von offensichtlich kritischen Probleme. Ich schicke einen Bericht so bald wie möglich.
Vollständiger Bericht gesendet LastPass, Sie sind es jetzt arbeiten. Ja, es ist eine komplette remote-Kompromiss. Ja, ich verspreche, ich werde Blick auf 1Password.
Wenn man bedenkt, dass, es ist unklar, ob Funktionen wie zwei-Faktor-Authentifizierung oder Verwendung von anderen Sicherheits-add-ons schützen Sie Benutzer und Daten vor Angriffen. In der Tat, es ist nicht einmal klar, ob LastPass’ Netzwerk-und Infrastruktur, die browser-Erweiterungen, mobile apps oder andere Produkte sind von der Sicherheitsanfälligkeit betroffen.
Es kann sehr gut sein, dass nur die browser-Erweiterung betroffen ist, wenn man bedenkt, dass es die meisten wahrscheinlich, dass Tavis sich aufgrund seiner Verfügbarkeit für den Chrome-browser.
Die Sicherheits-Forscher, seine Sicht auf die nächsten Passwort-manager, 1Password, das ist bis nächste laut einer Twitter-Nachricht.
Passwort-Manager speichern von kritischen Daten. Dies macht Sie zu einem der wichtigsten Programme für einen Benutzer und ein lukratives Ziel für Angreifer.
Die gemeldete Sicherheitslücke ist nicht der erste Vorfall in LastPass’ Geschichte. Im Jahr 2015, LastPass bestätigt, dass es entdeckt verdächtige Aktivitäten im Netzwerk der Firma. Erst vor kurzem, ein weiteres Problem wurde gemeldet und behoben, der erlaubt Angreifern zu extrahieren Passwörter mit der Erweiterung autofill-Funktionen.
LastPass ist in der Regel sehr entgegenkommend und schnell, wenn es um das patchen von security Themen, die den Produkten des Unternehmens. Wir werden den Artikel aktualisieren, wenn neue Informationen ans Licht kommen.