Android

Lỗ hổng mở rộng trình duyệt Lastpass đã tiết lộ: cách giữ an toàn

LastPass Families

LastPass Families

Mục lục:

Anonim

Một trong những trình quản lý mật khẩu phổ biến nhất LastPass đang phải đối mặt với các vấn đề nghiêm trọng với tiện ích mở rộng trình duyệt của mình vì nhiều lỗ hổng đã được tiết lộ với dịch vụ trong tuần qua và chúng vẫn tồn tại.

Công nghệ ngày càng phát triển và mặc dù điều đó có nghĩa là cải thiện lối sống của chúng ta, đôi khi nó có thể gây hại trong trường hợp một số lỗi được khai thác, đặc biệt là khi một dịch vụ như LastPass, chịu trách nhiệm bảo vệ hàng chục triệu mật khẩu.

Tuần trước, vào ngày 20 tháng 3, Tavis Ormandy, một nhà nghiên cứu tại Dự án Zero của Google, đã phát hiện ra hai lỗi trong phần mở rộng trình duyệt của LastPass, khiến người dùng dễ bị thực thi mã từ xa.

Các lỗ hổng được tiết lộ ảnh hưởng đến cả doanh nghiệp và người dùng cá nhân của dịch vụ.

Lỗ hổng tiết lộ trong tuần qua?

20 tháng 3: Tavis Ormandy tìm thấy hai lỗ hổng Thực thi mã từ xa (RCE) đang ảnh hưởng đến các phần mở rộng trình duyệt của LastPass - có khả năng cho phép kẻ tấn công đánh cắp mật khẩu.

Rất tiếc, lỗi LastPass mới ảnh hưởng đến 4.1.42 (Chrome & FF). RCE nếu bạn sử dụng Thành phần nhị phân của Biên, nếu không có thể ăn cắp pwds. Báo cáo đầy đủ trên đường. pic.twitter.com/y92vm3Ibxd

- Tavis Ormandy (@taviso) ngày 20 tháng 3 năm 2017

21 tháng 3: LastPass thừa nhận báo cáo của Ormandy và xác nhận rằng các lỗ hổng tồn tại và nhóm của họ sẽ làm việc để khắc phục chúng.

Chúng tôi biết về báo cáo của @taviso và nhóm của chúng tôi đã đưa ra cách giải quyết trong khi chúng tôi làm việc trên một nghị quyết. Hãy theo dõi để cập nhật.

- LastPass (@LastPass) ngày 21 tháng 3 năm 2017

22 tháng 3: Công ty thông báo rằng họ đã phát hành các phiên bản mới của Chrome (v 4.1.43) và Firefox (v 4.1.36) với các bản cập nhật bảo mật.

Họ cũng đề cập rằng không có dữ liệu nào bị xâm phạm trong khoảng thời gian này và người dùng không cần phải lo lắng về việc thay đổi thông tin đăng nhập của họ. Các phiên bản cập nhật của phần mở rộng trình duyệt Microsoft Edge và Opera sẽ được phát hành chờ phê duyệt của công ty.

25 tháng 3: Tavis Ormandy phát hiện ra một lỗ hổng khác mà phiên bản cập nhật của tiện ích mở rộng trình duyệt Google Chrome (v 4.1.43) phải đối mặt. LastPass thừa nhận lỗ hổng trong bản cập nhật thông báo ngày 22 tháng 3 của họ.

Ah-ha, tôi đã có một epiphany trong phòng tắm sáng nay và nhận ra làm thế nào để có được codeexec trong LastPass 4.1.43. Báo cáo đầy đủ và khai thác trên đường đi. pic.twitter.com/vQn20D9VCy

- Tavis Ormandy (@taviso) ngày 25 tháng 3 năm 2017

27 tháng 3: LastPass đã ban hành một tuyên bố, chúng tôi không tích cực giải quyết lỗ hổng. Cuộc tấn công này là duy nhất và rất tinh vi. Chúng tôi không muốn tiết lộ bất cứ điều gì cụ thể về lỗ hổng hoặc cách khắc phục của chúng tôi có thể tiết lộ bất cứ điều gì cho các bên kém tinh vi nhưng bất chính.

Làm thế nào để giữ an toàn?

Hiện tại, LastPass đã xác nhận rằng họ đang nỗ lực khắc phục các sự cố bảo mật với dịch vụ của họ và có thể sớm khắc phục sự cố. Trong khi đó, người dùng LastPass nên thực hiện các biện pháp phòng ngừa sau.

  • Để bảo vệ thông tin đăng nhập của họ, người dùng được khuyến nghị nên vô hiệu hóa tiện ích mở rộng trình duyệt trong thời gian này và khởi chạy các trang web trực tiếp từ LastPass Vault cho đến khi các lỗ hổng được công ty giải quyết.
  • Bật Xác thực hai yếu tố cho tất cả các tài khoản cung cấp tùy chọn, cung cấp cho tài khoản của bạn một lớp bảo mật bổ sung trong trường hợp lỗ hổng bị kẻ tấn công khai thác.
  • Hãy cảnh giác với các cuộc tấn công lừa đảo. Không nhấp vào liên kết từ các nguồn không đáng tin cậy - những người bạn không biết
Tìm kiếm các lựa chọn thay thế cho LastPass? Kiểm tra 3 lựa chọn thay thế hàng đầu tại đây.

Các nhà nghiên cứu ở Anh và Mỹ hôm thứ Sáu đã công bố một bài báo chi tiết các khám phá có thể đưa một máy tính lượng tử đầy đủ chức năng lên một bước gần hơn với thực tế. vấn đề giữ dữ liệu theo định dạng mạch lạc, làm cho việc chạy chương trình hoặc công việc tính toán trở nên khó khăn. Các nhà nghiên cứu đã tìm ra cách để bảo toàn các electron, lưu trữ dữ liệu lâu hơn, cho phép một hệ thống xử lý dữ liệu chặt chẽ hơn và chạy các chương trình hiệu quả hơn.

Các nhà nghiên cứu ở Anh và Mỹ hôm thứ Sáu đã công bố một bài báo chi tiết các khám phá có thể đưa một máy tính lượng tử đầy đủ chức năng lên một bước gần hơn với thực tế. vấn đề giữ dữ liệu theo định dạng mạch lạc, làm cho việc chạy chương trình hoặc công việc tính toán trở nên khó khăn. Các nhà nghiên cứu đã tìm ra cách để bảo toàn các electron, lưu trữ dữ liệu lâu hơn, cho phép một hệ thống xử lý dữ liệu chặt chẽ hơn và chạy các chương trình hiệu quả hơn.

Mặc dù trong phát triển, các máy tính lượng tử có thể cách mạng hóa khuôn mặt của máy tính. Trong một vài giây, các máy tính lượng tử có thể thực hiện các nhiệm vụ không khả thi đối với các siêu máy tính hiện nay. Tính toán lượng tử sử dụng các nguyên tử và phân tử - để xử lý số lượng lớn các nhiệm vụ ở tốc độ siêu dữ liệu vì dữ liệu được lưu trữ và chia sẻ ở nhiều trạng thái hơn là các trạng thái nhị phân bình thường là 0 và 1.

Nhiều chương trình bạn đã cài đặt trên máy tính của mình, thì khó có thể tìm được chương trình mà bạn muốn. Đó là lý do tại sao tôi không thể sống mà không có Launchy, một trình đơn đơn giản nhưng vô cùng hữu ích để giúp tôi tiết kiệm được cho việc lướt qua hàng chục chương trình trong trình đơn Start của tôi. Launchy được điều khiển bằng bàn phím. Bạn gọi nó bằng cách nhấn Alt-Space (hoặc kết hợp phím nóng mà bạn chọn), sau đó gõ vài chữ cái đầu tiên của chương trình mà bạn muốn. Ví dụ: để khởi

Nhiều chương trình bạn đã cài đặt trên máy tính của mình, thì khó có thể tìm được chương trình mà bạn muốn. Đó là lý do tại sao tôi không thể sống mà không có Launchy, một trình đơn đơn giản nhưng vô cùng hữu ích để giúp tôi tiết kiệm được cho việc lướt qua hàng chục chương trình trong trình đơn Start của tôi. Launchy được điều khiển bằng bàn phím. Bạn gọi nó bằng cách nhấn Alt-Space (hoặc kết hợp phím nóng mà bạn chọn), sau đó gõ vài chữ cái đầu tiên của chương trình mà bạn muốn. Ví dụ: để khởi

Launchy cũng phục vụ các trang web yêu thích. Để đi thẳng đến PCWorld.com, ví dụ, tôi nhập "pcw". Nó thậm chí chỉ mục các tập tin, do đó bạn có thể tải, nói, tài liệu Word hoặc nhạc iTunes chỉ với một vài cú nhấn phím. (Nếu tất cả điều này nghe có vẻ quen thuộc, đó là vì Microsoft đã thêm chức năng tương tự vào menu Start của Windows Vista).

Dump Internet Explorer cho đến khi Microsoft phát hành bản vá lỗi, các chuyên gia bảo mật cảnh báo. Nếu bạn sử dụng Internet Explorer 6, 7, 8 hoặc 9 làm trình duyệt mặc định trên PC Windows, các chuyên gia bảo mật khuyên bạn nên sử dụng một trình duyệt Web khác cho đến khi Microsoft vá lỗ hổng nghiêm trọng trong IE. Hôm thứ Hai, Microsoft đã xác nhận rằng tin tặc đã tích cực khai thác lỗ hổng IE có thể cho phép kẻ tấn công chiếm đoạt PC của bạn. Việc khai thác không ảnh hưởng đến người dùng đang

Dump Internet Explorer cho đến khi Microsoft phát hành bản vá lỗi, các chuyên gia bảo mật cảnh báo. Nếu bạn sử dụng Internet Explorer 6, 7, 8 hoặc 9 làm trình duyệt mặc định trên PC Windows, các chuyên gia bảo mật khuyên bạn nên sử dụng một trình duyệt Web khác cho đến khi Microsoft vá lỗ hổng nghiêm trọng trong IE. Hôm thứ Hai, Microsoft đã xác nhận rằng tin tặc đã tích cực khai thác lỗ hổng IE có thể cho phép kẻ tấn công chiếm đoạt PC của bạn. Việc khai thác không ảnh hưởng đến người dùng đang

Cho đến nay, Microsoft cho biết họ đã nhận được các báo cáo về "một số lượng nhỏ các cuộc tấn công nhắm mục tiêu" bằng cách sử dụng khai thác này. Các nhà sản xuất phần mềm đang làm việc trên một bản vá bảo mật cho vấn đề, nhưng công ty vẫn chưa nói liệu nó sẽ phát hành một bản cập nhật bảo mật càng sớm càng tốt hoặc là một phần của chu kỳ cập nhật “patch Tuesday” hàng tháng của họ. "Bản vá thứ ba" tiếp theo sẽ là ngày 9 tháng 10.