Vulnerabilidade de comprometimento remoto do LastPass

• Categoria: Segurança

Experimente Nosso Instrumento Para Eliminar Problemas

Selecione O Sistema Operacional Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Escolha Um Programa De Projeção (Opcionalmente) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Descreva Seu Problema

Obter Uma Resposta

Envie -Me Por E -Mail Mostrar No Site

LastPass tem um monte de problemas críticos dos quais pelo menos um permite que invasores comprometam o gerenciador de senhas remotamente de acordo para o pesquisador do Google Tavis Ormandy.

Última passagem é um dos serviços de gerenciamento de senhas online mais populares da Internet atual. O serviço oferece extensões para vários navegadores, aplicativos móveis e soluções dedicadas para vários sistemas operacionais e dispositivos.

Um relatório completo foi enviado à LastPass por Tavis Ormandy e parece que a empresa está trabalhando na análise e correção dos problemas no momento da redação.

As questões ainda não foram divulgadas publicamente. Embora seja a coisa certa a fazer até que sejam corrigidos, isso significa que os usuários do LastPass não sabem realmente se o problema pode ser atenuado até que uma correção seja fornecida.

Atualizar : LastPass lançou uma atualização de segurança para o complemento do Firefox. De acordo em uma postagem de blog no site oficial, um invasor pode atrair um usuário LastPass a um site malicioso para executar ações LastPass em segundo plano sem que o usuário saiba sobre elas. Isso foi corrigido no LastPass 4.0 para Firefox.

Informações adicionais sobre o problema relatado estão disponíveis no Fórum do Projeto Zero em Chromium.org.

Vulnerabilidade de comprometimento remoto do LastPass

As únicas informações fornecidas são as Segue dois tweets:

As pessoas estão realmente usando esse último passe? Dei uma olhada rápida e vi vários problemas críticos óbvios. Vou enviar um relatório o mais rápido possível.

Relatório completo enviado ao LastPass, eles estão trabalhando nisso agora. Sim, é um compromisso remoto completo. Sim, prometo que verei 1Password.

Considerando isso, não está claro se recursos como autenticação de dois fatores ou o uso de outros complementos de segurança protegem usuários e dados de ataques. Na verdade, nem mesmo está claro se a rede e infraestrutura do LastPass, a extensão do navegador, aplicativos móveis ou outros produtos são afetados pela vulnerabilidade.

Pode muito bem ser que apenas a extensão do navegador seja afetada, considerando que é o mais provável que Tavis deu uma olhada devido à sua disponibilidade para o navegador Chrome.

O pesquisador de segurança fixou seus olhos no próximo gerenciador de senhas, 1Password, que é o próximo de acordo com uma mensagem do Twitter.

Os gerenciadores de senha armazenam dados críticos. Isso os torna um dos programas mais importantes para um usuário e um alvo lucrativo para invasores.

O problema de segurança divulgado não é o primeiro incidente na história do LastPass. Em 2015, LastPass confirmou que detectou atividade suspeita na rede da empresa . Apenas recentemente, Outro problema foi relatado e corrigido, permitindo que invasores extraiam senhas usando a funcionalidade de preenchimento automático da extensão.

LastPass é geralmente muito responsivo e rápido quando se trata de corrigir problemas de segurança que afetam os produtos da empresa. Atualizaremos o artigo quando novas informações vierem à tona.