SecurityWatchはLastPassにソフトウェアに脆弱性が存在することを確認し、一部のパスワードにアクセスできるようにしました。 パッチはすでにリリースされており、ダウンロードできます。
脆弱性
脆弱性については、読者のDavid Hughesから学びました。 次に、問題がシステムの最近の更新によって作成されたことを確認したLastPassに通知しました。 それらの修正は本日リリースされるはずです。ソフトウェアを更新するか、LastPassから新しいバージョンをダウンロードすることをお勧めします。 この問題は、LastPassバージョン2.0.20を搭載したIEのユーザーにのみ影響します。
読者は、Windows IEでメモリダンプを実行したときに、保存されているLastPassパスワードをプレーンテキストで取得できることを通知しました。 IEでパスワードマネージャーがフィールドを自動入力すると、暗号化されていないパスワードはメモリ内でアクセス可能なままになります。 IEを終了するとメモリがクリーンアップされるため、以前のセッションのパスワードは影響を受けないようです。 さらに、フィールドの自動入力に使用されていないパスワードは暗号化されたままであり、この脆弱性を使用して取得することはできません。
この問題はIEユーザーのみに影響するように見えるため、ブラウザを使用してパスワードを保存していない限り、他の人は誰でも安全です。
この問題は恐ろしく聞こえますが、脆弱性の範囲は限られています。 LastPassはセキュリティウォッチに次のように述べました。「この特定の問題を悪用するのは非常に困難です。IEを使用し、LastPassにログインしてデータを復号化し、メモリダンプを実行し、メモリダンプを探し、実際に特定する必要がありますパスワード-ユーザーデータのプライバシーとセキュリティを何よりも重視しているため、この問題を修正することを優先事項としました。」
さらに、ターゲットコンピューターに直接アクセスできる場合は、メモリのダンプがはるかに簡単になります。攻撃者が持っている可能性は低いです。 攻撃者がリモートでマシンにアクセスしてダンプを実行できる場合、おそらくもっと心配する必要があります。
安全を保つ
IEでこのバージョンのLastPassを使用している場合、LastPassからの更新で問題が確実に処理されるため、セキュリティを維持する最善の方法は、すぐにダウンロードすることです。
最も重要なことは、パスワードマネージャーの使用を停止しないことです。 LastPassに警戒心がある場合は、他のエディターズチョイスDashLane 2.0を検討してください。 固有のパスワードを保存および作成することは非常に価値のあるサービスであり、オンラインでの安全性を確実に維持します。
LastPassをパスワードマネージャーとして引き続き推奨します。過去数日間で問題が解決された速度に感銘を受けました。 他の情報収集家が興味を持っているなら、あなたは彼らのウェブサイトから直接LastPassに問題を報告することができます-または、単に私たちに連絡してください。
