LastPass Remote Compromise vulnerabilità

• Categoria: Sicurezza

Prova Il Nostro Strumento Per Eliminare I Problemi

Seleziona Il Sistema Operativo Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Scegli Un Programma Di Proiezione (Facoltativamente) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Descrivi Il Tuo Problema

Ottieni Una Risposta

Inviami Via E -Mail Mostra Sul Sito

LastPass ha una serie di problemi critici di cui almeno uno consente agli aggressori di compromettere il gestore di password da remoto secondo al ricercatore di Google Tavis Ormandy.

LastPass è uno dei servizi di gestione delle password online più popolari su Internet di oggi. Il servizio offre estensioni per vari browser, app mobili e soluzioni dedicate per vari sistemi operativi e dispositivi.

Un rapporto completo è stato inviato a LastPass da Tavis Ormandy e sembra che la società stia lavorando all'analisi e alla risoluzione dei problemi al momento della scrittura.

I problemi non sono stati ancora divulgati pubblicamente. Sebbene questa sia la cosa giusta da fare fino a quando non vengono risolti, significa che gli utenti di LastPass non sanno davvero se il problema può essere mitigato fino a quando non viene fornita una soluzione.

Aggiornare : LastPass ha rilasciato un aggiornamento di sicurezza per il componente aggiuntivo Firefox. Secondo a un post sul blog sul sito ufficiale, un utente malintenzionato potrebbe attirare un utente LastPass su un sito dannoso per eseguire azioni LastPass in background senza che l'utente ne sia a conoscenza. Questo problema è stato risolto in LastPass 4.0 per Firefox.

Ulteriori informazioni sul problema segnalato sono disponibili sul Forum di Project Zero su Chromium.org.

LastPass Remote Compromise vulnerabilità

Le uniche informazioni fornite sono il file a seguire Due tweets:

Le persone stanno davvero usando questa cosa dell'ultimo passaggio? Ho dato una rapida occhiata e posso vedere una serie di evidenti problemi critici. Invierò un rapporto al più presto.

Rapporto completo inviato a LastPass, ci stanno lavorando ora. Sì, è un completo compromesso remoto. Sì, prometto che guarderò 1Password.

Considerando ciò, non è chiaro se funzionalità come l'autenticazione a due fattori o l'uso di altri componenti aggiuntivi per la sicurezza proteggano utenti e dati dagli attacchi. In effetti, non è nemmeno chiaro se la rete e l'infrastruttura di LastPass, l'estensione del browser, le app mobili o altri prodotti siano interessati dalla vulnerabilità.

Può benissimo essere che sia interessata solo l'estensione del browser, considerando che è la più probabile che Tavis abbia esaminato a causa della sua disponibilità per il browser Chrome.

Il ricercatore di sicurezza ha messo gli occhi sul prossimo gestore di password, 1Password, che è il prossimo secondo un messaggio di Twitter.

I gestori di password archiviano dati critici. Questo li rende uno dei programmi più importanti per un utente e un obiettivo redditizio per gli aggressori.

Il problema di sicurezza divulgato non è il primo incidente nella storia di LastPass. Nel 2015 LastPass lo ha confermato ha rilevato attività sospette sulla rete aziendale . Solo recentemente, un altro problema è stato segnalato e risolto che consentiva agli aggressori di estrarre le password utilizzando la funzionalità di compilazione automatica dell'estensione.

LastPass è solitamente molto reattivo e veloce quando si tratta di correggere i problemi di sicurezza che interessano i prodotti aziendali. Aggiorneremo l'articolo quando verranno alla luce nuove informazioni.