SecurityWatch已通过LastPass确认其软件中存在漏洞,尚可访问某些密码。 补丁已发布,可以下载。
漏洞
我们从读者David Hughes了解了该漏洞。 我们又通知了LastPass,后者确认问题是由其系统的最新更新引起的。 他们的修复程序应该在今天发布,我们鼓励每个人更新其软件或从LastPass下载新版本。 此问题仅会影响具有LastPass 2.0.20版本的IE用户。
我们的读者告诉我们,当他在Windows IE上执行内存转储时,他能够以明文形式检索存储的LastPass密码。 似乎当密码管理器自动填充IE中的字段时,未加密的密码仍可在内存中访问。 退出IE会清理内存,因此以前的会话密码似乎没有受到影响。 此外,尚未用于自动填充字段的密码将保持加密状态,无法使用此漏洞进行检索。
该问题似乎只影响IE用户,因此其他所有人都是安全的,除非您一直在使用浏览器为您存储密码(您应该停止这样做)。
虽然这个问题听起来很可怕,但是漏洞的范围是有限的。 LastPass告诉安全观察员:“这个特殊问题将非常难以利用-要求您使用IE,并且您已经登录LastPass解密数据,执行内存转储,搜寻内存转储并实际定位密码-我们将解决此问题列为优先事项,因为我们最重视用户数据的隐私和安全性。”
此外,如果您可以直接访问目标计算机,则转储内存要容易得多-攻击者不太可能拥有这种东西。 如果攻击者可以远程访问您的计算机并执行转储,那么您可能还有很多需要担心的问题。
保持安全
如果您在IE中使用的是LastPass版本,LastPass的更新肯定会解决此问题,因此确保安全的最佳方法是立即下载它。
最重要的是,不要停止使用密码管理器。 如果您对LastPass感到不安,请考虑我们的其他编辑选择DashLane 2.0。 存储和创建唯一密码是一项非常有价值的服务,绝对可以确保您上网安全。
我们将继续推荐LastPass作为密码管理器,过去几天来解决该问题的速度给我留下了深刻的印象。 如果有其他建议者感兴趣,您可以从他们的网站直接向LastPass报告问题,或者直接给我们打个电话。
