Video: LastPass Tutorial (2020) (September 2024)
SecurityWatch har bekräftat med LastPass att en sårbarhet fanns i programvaran, vilket lämnar vissa lösenord tillgängliga. En patch har redan släppts och kan laddas ner.
Sårbarheten
Vi lärde oss om sårbarheten från vår läsare David Hughes. Vi informerade i sin tur LastPass som bekräftade att problemet skapades genom en ny uppdatering av deras system. Deras fix bör släppas idag, och vi uppmuntrar alla att uppdatera sin programvara eller ladda ner den nya versionen från LastPass. Det här problemet berör bara användare av IE med LastPass version 2.0.20.
Vår läsare informerade oss om att när han utförde en minnesdump på Windows IE, han kunde hämta lagrade LastPass-lösenord i klartext. Det verkar som om lösenordshanteraren automatiskt fyller ut fält i IE förblir de okrypterade lösenorden tillgängliga i minnet. Lösenord från tidigare sessioner verkar inte påverkas, eftersom avslutande av IE rensar upp minnet. Dessutom förblir lösenord som inte har använts för att automatiskt fylla fält krypterade och kan inte hämtas med det här sårbarheten.
Problemet verkar bara påverka IE-användare, så alla andra är säkra om du inte har använt din webbläsare för att lagra lösenord åt dig - vilket du borde sluta göra.
Även om problemet låter skrämmande, är sårbarhetens omfattning begränsad. LastPass berättade för säkerhetsvakt, "den här frågan skulle vara extremt svår att utnyttja - kräver att du använder IE, att du har loggat in på LastPass för att dekryptera dina data, utföra en minnesdump, jaga genom minnesdumpen och faktiskt hitta lösenorden - vi har gjort att fixa detta till en prioritet eftersom vi värdesätter integriteten och säkerheten för våra användares data framför allt annat."
Dessutom är det mycket lättare att dumpa minnet om du har direkt tillgång till måldatorn - något som en angripare sannolikt inte har. Om en angripare kan få fjärråtkomst till din maskin och utföra dumpningen, har du antagligen mycket mer att oroa dig för.
Förbli säkert
Om du använder denna version av LastPass i IE kommer uppdateringen från LastPass säkert att ta hand om problemet, så det bästa sättet att hålla sig säker är att ladda ner det omedelbart.
Viktigast av allt, sluta inte använda en lösenordshanterare. Om du känner dig försiktig med LastPass ska du överväga våra andra Editors 'Choice DashLane 2.0. Att lagra och skapa unika lösenord är en mycket värdefull tjänst och kommer absolut att hålla dig säkrare online.
Vi kommer att fortsätta att rekommendera LastPass som lösenordshanterare, och jag har varit imponerad av hur snabbt problemet har hanterats under de senaste dagarna. Om några andra tipsters där ute är intresserade kan du rapportera frågor direkt till LastPass från deras webbplats - eller bara släppa en linje.
