Поиск на сайте: Расширенный поиск


Новые программы oszone.net Читать ленту новостей RSS
CheckBootSpeed - это диагностический пакет на основе скриптов PowerShell, создающий отчет о скорости загрузки Windows 7 ...
Вы когда-нибудь хотели создать установочный диск Windows, который бы автоматически установил систему, не задавая вопросо...
Если после установки Windows XP у вас перестала загружаться Windows Vista или Windows 7, вам необходимо восстановить заг...
Программа подготовки документов и ведения учетных и отчетных данных по командировкам. Используются формы, утвержденные п...
Red Button – это мощная утилита для оптимизации и очистки всех актуальных клиентских версий операционной системы Windows...
OSzone.net Новости IT Уязвимость в LastPass позволяла получить доступ к паролям пользователей RSS

Уязвимость в LastPass позволяла получить доступ к паролям пользователей

Текущий рейтинг: 4.6 (проголосовало 5)
 Посетителей: 1517 | Просмотров: 1648 (сегодня 0)  Шрифт: - +

О популярном менеджере паролей LastPass ранее мы писали только в контексте относительно удобной и безопасной утилиты для переноса паролей между браузерами. Но всё же главной задачей менеджера является хранение паролей пользователя в зашифрованном хранилище для дальнейшей синхронизации между платформами — LastPass доступен в качестве приложения для большинства мобильных систем, а также в виде расширения для всех популярных браузеров. И именно в расширении для Internet Explorer была обнаружена критическая уязвимость, позволявшая считать пароли злоумышленнику.

*
Увеличить рисунок

Суть уязвимости заключается в том, что функция автозаполнения LastPass в Internet Explorer размещает данные аутентификации незашифрованными в полях, а это открывает злоумышленнику провести атаку путём создания дампа процесса, в файле которого можно будет получить все пароли, которые были введены пользователем за время рабочей сессии. В случае, если пользователь вышел из браузера, то все пароли автоматически очищаются. Впрочем, такой тип атак через запись дампа довольно нетривиален и требует от злоумышленника по меньшей мере физического доступа к пользовательской учётной записи. Расширения в других браузерах данной уязвимости не подвержены, поэтому снятие дампа не даст доступа к введённым паролям. В качестве решения проблемы разработчики рекомендуют в срочном порядке обновить расширение для Internet Explorer до версии 2.0.20, в которой данная уязвимость ликвидирована.

Стоит понимать, что хотя LastPass и декларирует свои решения как безопасные, отдельные реализации на платформах (а кроме браузеров поддерживаются также Android, iOS, Windows Phone, webOS, Windows Mobile, Blackberry и Firefox OS) могут содержать уязвимости, которые потенциально позволят получить данные злоумышленнику. У самого Internet Explorer есть собственные механизмы обеспечения сохранности паролей — это механизм DPAPI, в котором пароли зашифрованы с помощью уникального пользовательского ключа, поэтому даже если злоумышленник сможет получить данные удалённо, то расшифровать их не сможет. Этот же механизм использует и Google Chrome, но там реализация проще, так как инженеры поисковой корпорации предпочли не использовать энтропию при шифровании, поэтому задача расшифровки несколько упрощается. В Windows 8 добавлен ещё один слой защиты, требующий дополнительной аутентификации для прочтения паролей. Впрочем, все эти методы защиты по большей части бесполезны в том случае, если у злоумышленника есть физический доступ к учётной записи пользователя, поэтому сторонний менеджер паролей с включённой двухфакторной аутентификацией может быть более надёжным способом хранения, чем хранение в браузере.

Автор: Анжел Божинов  •  Иcточник: www.pcmag.com  •  Опубликована: 20.08.2013
Нашли ошибку в тексте? Сообщите о ней автору: выделите мышкой и нажмите CTRL + ENTER


Оценить статью:
Вверх
Комментарии посетителей
Комментарии отключены. С вопросами по статьям обращайтесь в форум.