Uwaga na menedżera haseł LastPass

W oprogramowaniu wykryto dziurę pozwalającą hakerom zagnieżdżać na komputerze szkodliwe oprogramowanie, które potrafi wykradać z menedżera skonfigurowane przez użytkownika hasła.

Podatność została wykryta przez jednego z informatyków zatrudnionych w firmie Google, który poinformował o swoim odkryciu twórców oprogramowania LastPass na początku tego tygodnia.

Podatność znajduję się w rozszerzeniach LastPass dołączanych do przeglądarek Google Chrome, Mozilla Firefox oraz Microsoft Edge. Po zainstalowaniu na przeglądarce rozszerzenia, haker może zagnieździć na komputerze szkodliwe oprogramowanie wykradające hasła. Jest to możliwe po wysłaniu do komputera odpowiednio skonfigurowanego polecenia "openattach".

Zobacz również:

  • IDC CIO Summit – potencjał drzemiący w algorytmach
  • Użytkownicy dalej konfigurują łatwe do odgadnięcia hasła
  • Prevalent wprowadza Alfreda, generatywnego kamerdynera AI do zarządzania ryzykiem

Firma LastPass zna już podatność i pracuje nad łatą, która zostanie włączona do kolejnych udostępnianych użytkownikom wersji menedżera. Pocieszające jest to, że jak dotąd nie odnotowano żadnego ataku na menedżera haseł LastPass, który wykorzystywałby tę podatność. Ważne jest też to, zainstalowaniu nowego menedżera użytkownicy są bezpieczni i nie będą musieli zmieniać zapamiętywanych przez niego haseł.

Ten sam informatyk z Google wykrył w oprogramowaniu LastPass dwa dni później inną podatność, tym razem znajdującą się w rozszerzeniu przeznaczonym dla przeglądarki Firefox. Została ona już usunięta. Dlatego najnowsza wersja rozszerzenia przeznaczona dla tej przeglądarki, opatrzona numerem 4.1.36a, jest już bezpieczna.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200