Poslední chyba zabezpečení prohlížeče odhalena: jak zůstat v bezpečí

Jeden z nejoblíbenějších Správců hesel LastPass čelí vážným problémům s rozšířením prohlížeče, protože během posledního týdne bylo se službou odhaleno více zranitelných míst a stále přetrvávají.

Technologie se neustále vyvíjí, ačkoli to má zlepšit náš životní styl, někdy to může být škodlivé i v případě zneužití určitých chyb, zejména pokud jde o službu jako LastPass, která je zodpovědná za ochranu desítek milionů hesel.

Minulý týden, 20. března, Tavis Ormandy, výzkumný pracovník společnosti Google Project Zero, odhalil dvě chyby v rozšířeních prohlížeče LastPass, díky nimž byli uživatelé zranitelní při vzdáleném spuštění kódu.

Zjištěná zranitelnost se dotkla jak obchodních, tak osobních uživatelů služby.

Zranitelnosti se odhalily za poslední týden?

20. března: Tavis Ormandy najde dvě zranitelnosti RCE (Remote Code Execution), které ovlivňovaly rozšíření prohlížeče LastPass - potenciálně umožňují útočníkovi ukrást hesla.

Jejda, nová chyba LastPass, která ovlivňuje 4.1.42 (Chrome a FF). RCE, pokud používáte „binární komponentu“, jinak můžete ukrást pwds. Úplná zpráva na cestě. pic.twitter.com/y92vm3Ibxd

- Tavis Ormandy (@taviso) 20. března 2017

21. března: LastPass potvrzuje zprávu Ormandyho a potvrzuje, že zranitelnosti existují a jejich tým bude pracovat na jejich opravě.

Jsme si vědomi zprávy společnosti @taviso a náš tým zavedl řešení, zatímco pracujeme na řešení. Sledujte aktualizace.

- LastPass (@LastPass) 21. března 2017

22. března: Společnost oznamuje, že vydala nové verze rozšíření prohlížeče Chrome (v 4.1.43) a Firefox (v 4.1.36) s aktualizacemi zabezpečení.

Rovněž uvedli, že mezi tímto obdobím nebyla ohrožena žádná data a uživatelé se nemusí starat o změnu svých údajů. Aktualizované verze rozšíření prohlížečů Microsoft Edge a Opera budou vydány až do schválení společností.

25. března: Tavis Ormandy odhaluje další chybu zabezpečení, které čelí aktualizovaná verze rozšíření prohlížeče Google Chrome (v 4.1.43). LastPass potvrzuje tuto chybu zabezpečení v aktualizaci svého oznámení z 22. března.

Ah-ha, ráno jsem měl ve sprše epiphany a uvědomil jsem si, jak získat codeexec v LastPass 4.1.43. Plnou zprávu a využívejte na cestě. pic.twitter.com/vQn20D9VCy

- Tavis Ormandy (@taviso) 25. března 2017

27. března: LastPass vydal prohlášení : „ Neřešíme zranitelnost aktivně. Tento útok je jedinečný a vysoce sofistikovaný. Nechceme prozradit nic konkrétního o zranitelnosti nebo naší opravě, které by mohlo odhalit něco méně sofistikovaným, ale nebezpečným stranám. “

Jak zůstat v bezpečí?

V současné době LastPass potvrdil, že pracuje na opravě bezpečnostních problémů s jejich službami a úplnou opravu lze očekávat brzy. Mezitím se uživatelům LastPassu doporučuje dodržovat následující bezpečnostní opatření.

• Z důvodu zabezpečení svých přihlašovacích údajů se uživatelům doporučuje mezitím deaktivovat rozšíření prohlížeče a spouštět weby přímo z trezoru LastPass, dokud společnost nevyřeší zranitelnosti.
• Zapněte dvoufaktorové ověřování pro všechny účty, které tuto možnost nabízejí, a poskytněte tak svému účtu další úroveň zabezpečení pro případ, že by chybu zabezpečení zneužil útočník.
• Hledejte phishingové útoky. Neklikejte na odkazy z nedůvěryhodných zdrojů - lidí, které neznáte

Hledáte alternativy k LastPass? Podívejte se na 3 nejlepší alternativy zde.