  |
Za poslednú hodinu: 100 meraní | ||||
|
inzercia |
|||||
 
neprihlásený 
| Utorok, 16. apríla 2024, dnes má meniny Dana, Danica |
|
V LastPass ďalšie bezpečnostné chyby
bezpečnosť
Viacero zraniteľností objavil bezpečnostný expert Tavis Ormandy pracujúci pre Google v rámci Google Project Zero. Ormandy najskôr tento mesiac objavil dve zraniteľnosti. Najskôr v staršej verzii 3.3.x rozšírenia LastPass pre Firefox, chyba v ktorej umožnila ľubovoľnej stránke pod kontrolou útočníkov získať prihlasovacie údaje užívateľa z ľubovoľnej inej stránky. Následne identifikoval chybu aj v najnovších verziách rozšírenia LastPass pre Firefox, Chrome, Operu a Edge, ktorá umožnila ľubovoľnej stránke pod kontrolou útočníkov prístup k internému API rozšírenia. To následne opäť umožnilo útočníkom získať prihlasovacie údaje k ľubovoľnej inej stránke a ak má užívateľ inštalovaný aj binárny komponent rozšírenia, umožňuje to útočníkom spustiť na počítači užívateľa nimi zvolený kód a počítač infikovať. Ormandy o druhej chybe informuje v tomto oznámení, prevádzkovatelia LastPass tu. Chyba bola opravená 22. marca v rozšírení pre Firefox verzie 4.1.36, Chrome 4.1.43, Operu 4.1.28 a Edge 4.1.30. Následne cez víkend, 25. marca, Ormandy upozornil na objavenie ďalšej vážnej chyby, ktorá je podľa neho prítomná v rozšírení LastPass opäť pre všetky hlavné prehliadače. Keďže chyba zatiaľ nebola opravená, detaily Ormandy nezverejnil. Chyba ale umožňuje podľa Ormandyho opäť útočníkom získať heslá a v prípade inštalovaného binárneho komponentu aj spustiť zvolený kód. Na existenciu chyby už upozornili aj vývojári LastPass, termín opravenia nie je zatiaľ známy. Podľa Ormandyho ide tentokrát o veľký problém architektúry ich riešenia a oprava bude trvať dlho. LastPass má na opravenie chyby 90 dní, po uplynutí tejto doby Google zverejní informácie o chybe aj keď nebude ešte opravená. Hoci pred opravením ani služba v oznámení samozrejme neinformuje o povahe chyby, odporúča užívateľom aby si na službách, kde je to možné, zapli dvojfaktorovú autentifikáciu, nenaleteli na phishingové útoky a používali LastPass Vault na otváranie stránok. Tieto odporúčania tak naznačujú, že chyba môže mať naozaj vážnu povahu a jej odstránenie nebude okamžité. Oznámenie zároveň zraniteľnosť respektíve útok na ňu označujej za unikátny a veľmi sofistikovaný. Služba LastPass, ktorej cieľom je zvyšovať bezpečnosť užívateľov používaním bezpečnejších hesiel vytváraných a pamätaných službou, mala naopak v posledných rokoch viacero bezpečnostných incidentov potenciálne znižujúcich bezpečnosť. V roku 2013 boli objavené a v roku 2014 popísané vážne zraniteľnosti umožňujúce potenciálny prístup k zašifrovaným dátam užívateľa uloženým v službe a pomocou bookmarkletu prístup aj k odšifrovaným prihlasovacím údajom k ľubovoľnej stránke, v roku 2015 bola služba hacknutá a v jej rozšíreniach bola nájdená bezpečnostná chyba, v 2016 opäť Ormandy našiel chybu v rozšírení pre Firefox. 
Najnovšie články: Diskusia:
Pridať komentár | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
