Vídeo: Seus Usuários estão Seguros no Django? — Café com Python #017 (Novembro 2024)
O SecurityWatch confirmou com o LastPass que havia uma vulnerabilidade em seu software, deixando algumas senhas acessíveis. Um patch já foi lançado e está disponível para download.
A vulnerabilidade
Aprendemos sobre a vulnerabilidade com nosso leitor David Hughes. Por sua vez, informamos o LastPass que confirmou que o problema foi criado por uma atualização recente do sistema. Sua correção deve ser lançada hoje e incentivamos todos a atualizar seu software ou baixar a nova versão do LastPass. Esse problema afetaria apenas usuários do IE com LastPass versão 2.0.20.
Nosso leitor nos informou que, quando executou um despejo de memória no Windows IE, conseguiu recuperar as senhas armazenadas do LastPass em texto sem formatação. Parece que quando o gerenciador de senhas preenche automaticamente os campos no IE, as senhas não criptografadas permanecem acessíveis na memória. As senhas das sessões anteriores não parecem ser afetadas, pois sair do IE limpa a memória. Além disso, as senhas que não foram usadas para preencher automaticamente os campos permanecem criptografadas e não podem ser recuperadas usando esta vulnerabilidade.
O problema parece afetar apenas os usuários do IE; portanto, todo mundo está seguro, a menos que você esteja usando o navegador para armazenar senhas, o que você deve parar de fazer.
Embora o problema pareça assustador, o escopo da vulnerabilidade é limitado. O LastPass disse à Security Watch "que esse problema em particular seria extremamente difícil de explorar - exigindo que você estivesse usando o IE, que efetuou login no LastPass para descriptografar seus dados, executar um despejo de memória, procurar no despejo de memória e localizar realmente as senhas - tornamos a correção dessa prioridade uma vez que valorizamos a privacidade e a segurança dos dados de nossos usuários acima de tudo ".
Além disso, é muito mais fácil descarregar a memória se você tiver acesso direto ao computador de destino - algo que um invasor provavelmente não terá. Se um invasor puder acessar remotamente sua máquina e executar o despejo, provavelmente você terá muito mais com o que se preocupar.
Ficando seguro
Se você estiver usando esta versão do LastPass no IE, a atualização do LastPass certamente resolverá o problema; portanto, a melhor maneira de manter a segurança é fazer o download imediato.
Mais importante, não pare de usar um gerenciador de senhas. Se você está desconfiado do LastPass, considere o nosso outro DashLane 2.0 dos Editores. Armazenar e criar senhas exclusivas é um serviço muito valioso e o manterá absolutamente seguro online.
Continuaremos recomendando o LastPass como um gerenciador de senhas e fiquei impressionado com a velocidade com que o problema foi solucionado nos últimos dias. Se houver outros usuários que estão por aí interessados, pode relatar problemas diretamente para o LastPass pelo site deles - ou envie uma mensagem para nós.