Video: LastPass - Master Password Recovery - SMS (Oktober 2024)
SecurityWatch telah mengkonfirmasi dengan LastPass bahwa ada kerentanan dalam perangkat lunaknya, membuat beberapa kata sandi dapat diakses. Sebuah tambalan telah dirilis dan tersedia untuk diunduh.
Kerentanan
Kami belajar tentang kerentanan dari pembaca kami, David Hughes. Kami pada gilirannya memberi informasi kepada LastPass yang mengkonfirmasi bahwa masalah tersebut dibuat oleh pembaruan terbaru untuk sistem mereka. Perbaikan mereka harus dirilis hari ini, dan kami mendorong semua orang untuk memperbarui perangkat lunak mereka atau mengunduh versi baru dari LastPass. Masalah ini hanya akan mempengaruhi pengguna IE dengan LastPass versi 2.0.20.
Pembaca kami memberi tahu kami bahwa ketika ia melakukan dump memori pada Windows IE, ia dapat mengambil kata sandi LastPass yang tersimpan dalam plaintext. Tampaknya ketika manajer kata sandi mengisi otomatis bidang dalam IE, kata sandi yang tidak terenkripsi tetap dapat diakses dalam memori. Kata sandi dari sesi sebelumnya tampaknya tidak terpengaruh, karena berhenti IE membersihkan memori. Selain itu, kata sandi yang belum pernah digunakan untuk mengisi otomatis bidang tetap dienkripsi dan tidak dapat diambil menggunakan kerentanan ini.
Masalah ini tampaknya hanya memengaruhi pengguna IE, jadi semua orang aman kecuali Anda telah menggunakan peramban untuk menyimpan kata sandi untuk Anda - yang seharusnya Anda berhenti lakukan.
Meskipun masalah ini terdengar menakutkan, ruang lingkup kerentanan terbatas. LastPass mengatakan kepada penjaga keamanan, "masalah khusus ini akan sangat sulit untuk dieksploitasi - mengharuskan Anda menggunakan IE, bahwa Anda telah masuk ke LastPass untuk mendekripsi data Anda, melakukan dump memori, mencari memori dump, dan benar-benar menemukan kata sandi - kami telah menjadikan ini sebagai prioritas karena kami menghargai privasi dan keamanan data pengguna kami di atas segalanya."
Selain itu, membuang memori jauh lebih mudah dilakukan jika Anda memiliki akses langsung ke komputer target - sesuatu yang tidak mungkin dimiliki oleh penyerang. Jika penyerang dapat mengakses mesin Anda dari jarak jauh dan melakukan dump, maka Anda mungkin memiliki lebih banyak hal yang perlu dikhawatirkan.
Tetap Aman
Jika Anda menggunakan versi LastPass di IE ini, pembaruan dari LastPass pasti akan mengatasi masalah ini, jadi cara terbaik untuk tetap aman adalah dengan mengunduhnya langsung.
Yang terpenting, jangan berhenti menggunakan password manager. Jika Anda merasa waspada terhadap LastPass, pertimbangkan Pilihan Editor kami yang lain DashLane 2.0. Menyimpan dan membuat kata sandi unik adalah layanan yang sangat berharga, dan akan membuat Anda lebih aman saat online.
Kami akan terus merekomendasikan LastPass sebagai pengelola kata sandi, dan saya terkesan dengan kecepatan penanganan masalah selama beberapa hari terakhir. Jika ada keterangan rahasia lain di luar sana yang tertarik, Anda dapat melaporkan masalah langsung ke LastPass dari situs web mereka - atau cukup hubungi kami.
