Lastpass penyemak imbas sambungan kelemahan mendedahkan: bagaimana untuk kekal selamat

Salah satu pengurus kata laluan yang paling popular LastPass menghadapi masalah yang serius dengan sambungan penyemak imbasnya kerana kelemahan berganda telah diturunkan dengan perkhidmatan sepanjang minggu lalu, dan mereka masih berterusan.

Teknologi sentiasa berubah, dan walaupun ia bertujuan untuk meningkatkan gaya hidup kita, kadang-kadang ia juga boleh merosakkan jika sesetengah bug dieksploitasi, terutamanya apabila perkhidmatan seperti LastPass, yang bertanggungjawab untuk memelihara puluhan juta kata laluan, adalah berkenaan.

Minggu lepas, pada 20 Mac, Tavis Ormandy, seorang penyelidik di Project Zero Google, menemui dua bug dalam sambungan pelayar LastPass yang membuat pengguna terdedah kepada pelaksanaan kod jauh.

Kelemahan terdedah menjejaskan perniagaan dan pengguna peribadi perkhidmatan tersebut.

Kerentanan Terungkap sepanjang minggu lalu?

20 Mac: Tavis Ormandy menemukan dua kelemahan Pelaksanaan Kod Jauh (RCE) yang menjejaskan sambungan penyemak imbas LastPass - yang berpotensi membolehkan penyerang untuk mencuri kata laluan.

Op, bug baru LastPass yang menjejaskan 4.1.42 (Chrome & FF). RCE jika anda menggunakan "Komponen Perduaan", sebaliknya boleh mencuri pwds. Laporan penuh mengenai cara. pic.twitter.com/y92vm3Ibxd

- Tavis Ormandy (@taviso) 20 Mac, 2017

21 Mac: LastPass mengakui laporan Ormandy dan mengesahkan bahawa kelemahan wujud dan pasukan mereka akan berusaha untuk memperbaikinya.

Kami menyedari laporan oleh @taviso dan pasukan kami telah meletakkan penyelesaian semasa kami bekerja pada resolusi. Tinggal untuk maklumat terkini.

- LastPass (@ LasPass) 21 Mac, 2017

22 Mac: Syarikat itu mengumumkan bahawa mereka telah mengeluarkan versi baru pelayar Chrome (v 4.1.43) dan Firefox (v 4.1.36) dengan kemas kini keselamatan di tempatnya.

Mereka juga menyebut bahawa tiada data dikompromi di antara tempoh ini dan pengguna tidak perlu risau tentang menukar kelayakan mereka. Versi yang dikemas kini sambungan pelanjutan Microsoft Edge dan Opera akan dikeluarkan kelulusan syarikat sementara.

25 Mac: Tavis Ormandy mendedahkan kelemahan lain yang dihadapi oleh versi penyemak imbas Google Chrome versi terkini (v 4.1.43). LastPass mengiktiraf kelemahan dalam pengumuman pengumuman 22 Mac mereka.

Ah-ha, saya mempunyai epiphany di bilik mandi pagi ini dan menyedari bagaimana untuk mendapatkan codeexec di LastPass 4.1.43. Laporan penuh dan eksploitasi dalam perjalanan. pic.twitter.com/vQn20D9VCy

- Tavis Ormandy (@taviso) 25 Mac, 2017

27 Mac: LastPass mengeluarkan kenyataan, "Kami tidak aktif menangani kelemahan. Serangan ini unik dan sangat canggih. Kami tidak mahu mendedahkan apa-apa yang spesifik tentang kelemahan atau penetapan kami yang boleh mendedahkan apa-apa kepada pihak yang kurang canggih tetapi bersifat jahat."

Bagaimana untuk Tetap Selamat?

Pada masa ini, LastPass telah mengesahkan bahawa ia berfungsi untuk menyelesaikan masalah keselamatan dengan perkhidmatan mereka dan pembetulan penuh boleh dijangka tidak lama lagi. Dalam pada itu, ia disyorkan untuk pengguna LastPass untuk berhati-hati dengan langkah berjaga-jaga berikut.

• Untuk memastikan kelayakan log masuk mereka, pengguna disyorkan untuk melumpuhkan pelanjutan penyemak imbas sementara dan melancarkan laman web terus dari LastPass Vault sehingga kelemahan diselesaikan oleh syarikat.
• Hidupkan Pengesahan Dua Faktor untuk semua akaun yang menawarkan pilihan, memberikan akaun anda satu lapisan keselamatan sekiranya kerentanan dieksploitasi oleh penyerang.
• Berhati-hati untuk serangan phishing. Jangan klik pautan dari sumber yang tidak dipercayai - orang yang anda tidak tahu

Mencari alternatif untuk LastPass? Lihat 3 alternatif teratas di sini.