| 28 марта 2017 г. — 6:10 PT
Обновление:
LastPass сообщает, что уязвимость в расширении браузера устранена, и нет никаких свидетельств ее эксплуатации.
Исследователь безопасности Google Тавис Орманди сообщил об уязвимости на стороне клиента в настольных браузерных расширениях LastPass, но ни он, ни LastPass не раскрыли никаких подробностей до исправления. Компания заявила, что это сделано, и большинство пользователей будут автоматически обновлены до версии 4.1.44.
В субботу, 25 марта, исследователь безопасности Тавис Орманди из Project Zero от Google сообщил о найденной уязвимости в браузерных расширениях LastPass. За последние 24 часа мы выпустили обновление, которое, по нашему мнению, устраняет заявленную уязвимость во всех браузерах, и мы проверили это лично с Тависом.
Большинство пользователей будут обновлены автоматически. Пожалуйста, убедитесь, что вы используете последнюю версию (4.1.44 или выше), которую всегда можно загрузить на https://www.lastpass.com/.
LastPass опубликовал подробности проблемы в блоге, но предупреждает, что из-за сложного характера уязвимости объяснение будет очень техническим.
Менеджер паролей LastPass рекомендует пользователям соблюдать меры предосторожности, пока компания работает над устранением уязвимости, обнаруженной на выходных. Две из рекомендаций носят общий характер и должны соблюдаться в любом случае, но одна специально направлена на защиту вашей учетной записи от уязвимости…
Компания дает общие рекомендации использовать двухфакторную аутентификацию на всех сервисах, которые ее поддерживают, а также быть бдительными к фишинговым атакам – плюс одну конкретную рекомендацию до выхода исправления.
Используйте LastPass Vault как стартовую площадку – Запускайте сайты напрямую из хранилища LastPass. Это самый безопасный способ доступа к вашим учетным данным и сайтам до устранения этой уязвимости.
Компания заявляет, что для эксплуатации уязвимости потребуется очень сложная атака, и что детали будут раскрыты после закрытия дыры в безопасности.
На выходных исследователь безопасности Google Тавис Орманди сообщил о новой уязвимости на стороне клиента в браузерном расширении LastPass. В настоящее время мы активно устраняем эту уязвимость. Эта атака уникальна и очень сложна. Мы не хотим раскрывать каких-либо конкретных деталей об уязвимости или нашем исправлении, которые могли бы раскрыть что-либо менее изощренным, но злонамеренным сторонам. Поэтому вы можете ожидать более подробного разбора после завершения этой работы.
Уязвимость, по-видимому, присутствует только в Google Chrome, но мы рекомендуем следовать советам компании независимо от того, какой браузер вы используете.
Источник: Neowin. Фото: SkyHigh.