Выявлена ​​уязвимость расширения браузера Lastpass: как оставаться в безопасности

Один из самых популярных менеджеров паролей LastPass сталкивается с серьезными проблемами, связанными с расширениями браузера, поскольку за последнюю неделю в сервисе было обнаружено несколько уязвимостей, и они все еще сохраняются.

Технология постоянно развивается, и хотя она призвана улучшить наш образ жизни, иногда она может даже нанести ущерб в случае использования определенных ошибок, особенно когда речь идет о службе, такой как LastPass, которая отвечает за защиту десятков миллионов паролей.

На прошлой неделе, 20 марта, Тавис Орманди, исследователь Google Project Project, обнаружил две ошибки в расширениях браузера LastPass, которые сделали пользователей уязвимыми для удаленного выполнения кода.

Выявленные уязвимости коснулись как деловых, так и личных пользователей сервиса.

Уязвимости выявлены за прошедшую неделю?

20 марта. Тавис Орманди обнаружил две уязвимости удаленного выполнения кода (RCE), которые влияли на расширения браузера LastPass - потенциально позволяя злоумышленнику украсть пароли.

К сожалению, новая ошибка LastPass, которая затрагивает 4.1.42 (Chrome & FF). RCE, если вы используете «Бинарный компонент», иначе можете украсть pwds. Полный отчет о пути. pic.twitter.com/y92vm3Ibxd

- Тавис Орманди (@taviso) 20 марта 2017 г.

21 марта: LastPass принимает к сведению отчет Ормандии и подтверждает, что уязвимости существуют, и их команда будет работать над их устранением.

Нам известно об отчете @taviso, и наша команда нашла обходной путь, пока мы работаем над решением. Следите за обновлениями.

- LastPass (@LastPass) 21 марта 2017 г.

22 марта. Компания объявляет о выпуске новых версий расширений браузера Chrome (v 4.1.43) и Firefox (v 4.1.36) с установленными обновлениями безопасности.

Они также отметили, что в этот период не было скомпрометировано никаких данных, и пользователям не нужно беспокоиться об изменении своих учетных данных. Обновленные версии расширений браузера Microsoft Edge и Opera будут выпущены в ожидании одобрения компании.

25 марта. Тавис Орманди обнаружил еще одну уязвимость, с которой столкнулась обновленная версия расширения браузера Google Chrome (v 4.1.43). LastPass признает уязвимость в обновлении своего объявления от 22 марта.

Ага, сегодня утром я принял крещение в душе и понял, как получить codeexec в LastPass 4.1.43. Полный отчет и эксплойт на пути. pic.twitter.com/vQn20D9VCy

- Тавис Орманди (@taviso) 25 марта 2017 г.

27 марта: LastPass выступил с заявлением: «Мы не принимаем активных мер по устранению этой уязвимости. Эта атака уникальна и очень сложна. Мы не хотим раскрывать что-либо конкретное об уязвимости или нашем исправлении, которое могло бы раскрыть что-либо менее изощренным, но гнусным сторонам ».

Как оставаться в безопасности?

В настоящее время LastPass подтвердил, что работает над устранением проблем безопасности с их сервисом, и в ближайшее время ожидается полное исправление. Тем временем пользователям LastPass рекомендуется соблюдать следующие меры предосторожности.

• Для защиты своих учетных данных пользователям рекомендуется отключить расширения браузера и запускать веб-сайты непосредственно из хранилища LastPass, пока компания не устранит уязвимости.
• Включите двухфакторную аутентификацию для всех учетных записей, которые предоставляют такую ​​возможность, предоставляя вашей учетной записи дополнительный уровень безопасности в случае использования уязвимости злоумышленником.
• Будьте в поисках фишинговых атак. Не нажимайте на ссылки из ненадежных источников - людей, которых вы не знаете

Ищете альтернативы LastPass? Проверьте лучшие 3 альтернативы здесь.