Ak používate správca hesiel LastPass, uistite sa, že sú vaše rozšírenia prehliadača LastPass aktualizované na verziu 4.33.0 alebo 4.33.4. Oprava vydaná minulý štvrtok (sept. 12) opravuje závažnú bezpečnostnú chybu, ktorá by mohla umožniť škodlivým webovým serverom kradnúť vaše heslá. (Aplikácie LastPass pre Android a iOS to neovplyvní.)

Výskumný pracovník Google Project Zero Tavis Ormandy zistil, že ak je webová stránka postavená určitým spôsobom, môže vygenerovať vyskakovacie okno LastPass, ktoré tak urobí automaticky vyplňte používateľské meno a heslo uložené v pamäti pre inú webovú stránku, ktorá sa predtým zobrazovala na tej istej karta prehliadača.

Takže web Y mohol ukradnúť vaše používateľské meno a heslo pre web X, ak ste prešli z X na Y na tej istej karte prehliadača a potom ste sa prihlásili kliknutím.

VIAC: Najlepší správcovia hesiel

Preskočíme technické podrobnosti, ale stačí povedať, že vyskakovacie okno LastPass je možné spustiť jednoducho tak, že sa jeden web zobrazí v prehliadači ako vložený do iného webu. (Vkladanie ďalších webových stránok nie je nezvyčajné - prekladač Google to robí neustále, ako zdôraznil Ormandy vo svojej správe o chybe.)

Ak vložená stránka obsahuje prihlasovacie okno, môže sa zobraziť vyskakovacie okno LastPass - so zobrazením poverení pre predtým navštívenú webovú stránku na tej istej karte prehliadača.

„Myslím si, že je spravodlivé nazývať to„ vysokou “závažnosťou, aj keď to nebude fungovať pre * všetky * adresy URL,“ napísal Ormandy.

Zraniteľnosť zatiaľ nebola použitá pri žiadnych aktívnych útokoch, ale teraz, keď je zverejnená a vysvetlená, čakajte, že to niekto vyskúša.

Príbeh pásky

Ormandy nahlásil chybu LastPass aug. 29 a LastPass mal opravu hotovú o dva týždne neskôr. On oficiálny blog LastPass, spoločnosť uvádza, že „hoci akékoľvek potenciálne odhalenie v dôsledku chyby bolo obmedzené na konkrétne prehliadače (Chrome a Opera), preventívne sme aktualizáciu nasadili do všetkých prehliadačov.“

Opera používa rovnakú kódovú základňu Chromium ako Chrome a používa ju aj niekoľko ďalších prehľadávačov vrátane Brave a Vivaldi. Aktualizácia rozšírení pre Edge, Firefox, Internet Explorer a Safari je však dobrá politika, najmä preto, že správa o chybe spoločnosti Ormandy naznačuje, že sú to aj prehliadače Firefox a Microsoft postihnutých.

Napriek tejto zraniteľnosti je stále dobré používať správcu hesiel, pretože tak bude veľmi robiť obmedzte poškodenie svojej online bezpečnosti a súkromia, keď sa dostane web, ktorý ste zaregistrovali porušil. Ak sa heslo, ktoré ste na danom webe použili, nikde inde nepoužíva, nemusíte sa obávať žiadneho zo svojich ďalších účtov.

Ako skontrolovať rozšírenie prehliadača LastPass

Vo väčšine prípadov sa rozšírenie prehliadača LastPass automaticky aktualizuje. Mali by ste však skontrolovať, či je vaša verzia 4.33.0 alebo 4.33.4.

Ak chcete skontrolovať rozšírenie LastPass v prehliadači Google Chrome, kliknite na ikonu nastavení v pravom hornom rohu prehliadača (vyzerá to ako tri zvislé bodky). Posuňte kurzor nadol a umiestnite kurzor myši na položku „Viac nástrojov“ a potom vo výsuvnom okne kliknite na položku „Rozšírenia“.

Na výslednej karte nájdete rozšírenie LastPass a kliknite na tlačidlo „Podrobnosti“. Číslo verzie bude na výslednej stránke vysoké.

Proces je podobný vo Firefoxe, ale s ďalším krokom. Ikona nastavení prehliadača Firefox je tiež vpravo hore, ale vyzerá to ako tri naskladané riadky namiesto troch zvislých bodiek. Kliknite na to a potom kliknite na „Doplnky“ a potom na „Rozšírenia“. Nájdite rozšírenie LastPass, dvakrát na neho kliknite a skontrolujte číslo verzie.

  • Tip na jedno heslo, ktorý každý musí vedieť
  • Falošné aplikácie pre Android sú veľmi ľahko ukradnuteľné
  • Nové rozšírenie pre prehliadač Google od spoločnosti Google nájde vaše napadnuté heslá

Získajte okamžitý prístup k najaktuálnejším novinkám, najaktuálnejším recenziám, skvelým ponukám a užitočným tipom.

Ďakujeme, že ste sa zaregistrovali do Tomovho sprievodcu. Čoskoro dostanete overovací e-mail.

Bol tu problém. Obnovte stránku a skúste to znova.

Žiadny spam, sľubujeme. Odber môžete kedykoľvek zrušiť a nikdy nebudeme zdieľať vaše podrobnosti bez vášho súhlasu.