Lóhalálában javított súlyos hibákat a LastPass
A LastPass jelszókezelő kapcsán több súlyos sérülékenység is napvilágot látott. A fejlesztők azonban példaértékű gyorsasággal orvosolták a rendellenességeket.Tavis Ormandy kutató neve a biztonsági szakemberek berkein belül korántsem ismeretlen. Korábban már olyan alkalmazások kapcsán is tárt fel súlyos sebezhetőségeket, mint amilyen például a Cisco WebEx, az AVG Web TuneUp és az Adobe Acrobat/Reader.
A szakember az elmúlt napokban úgy határozott, hogy a LastPass háza táján is szétnéz, és különösen a jelszókezelőhöz készített böngészőkiegészítőket veszi alaposabban is szemügyre. A vizsgálatai hasznosnak bizonyultak, ugyanis több biztonsági résről is lehullt a lepel.
Az első sebezhetőség a Firefox bővítmény esetében tűnt fel a kutatónak. Rájött arra, hogy a kiegészítőn keresztül bizalmas adatokhoz való jogosulatlan hozzáférésre is lehetőség nyílhat. A felfedezéséről rögtön értesítette a LastPass illetékeseit, akik hamar visszajeleztek, hogy fogadták a bejelentést, és már dolgoznak is a javításon.
Kedden pedig Ormandy egy újabb sérülékenységre is figyelmes lett, de ez már nem kizárólag a Firefox bővítmény kapcsán jelentett kockázatot, mivel a Chrome-hoz készült kiegészítő is problémásnak bizonyult. A biztonsági hiba jelszólopásra adott módot, sőt bizonyos körülmények között jogosulatlan parancsvégrehajtást is lehetővé tehetett (RPC-n keresztül). A szakember természetesen erről a hibáról is beszámolt a LastPass-nak, amely 1-2 órán belül bevezetett egy átmeneti, kockázatcsökkentő intézkedést, majd elkészítette a végleges patch-et. Ezt szerveroldalon alkalmazta, és közölte, hogy a felhasználóknak nincs semmi teendőjük. Persze azért arra érdemes figyelni, hogy a böngészőkben mindig a legújabb verziójú LastPass kiegészítők fussanak.
Alig, hogy a LastPass mérnökei szusszanhattak egyet a gyors foltozgatás után, Ormandy további sebezhetőségek részleivel halmozta el őket. Azonban a biztonsági kutató ezúttal sem tudott kifogni a fejlesztőkön, akik szerdán jelezték, hogy további két biztonsági rést is megszüntettek. Ormandy pedig csodálatát fejezte ki a gyors reakció kapcsán, és elmondta, hogy bárcsak minden gyártó ilyen módon reagálna az etikus hackerek bejelentéseire.
Az Ormandy és a LastPass közötti eszmecsere jelenleg leginkább a Twitteren követhető, de a cég ígéretet tett arra, hogy egy hosszabb blogbejegyzésben is beszámol majd a történtekről.
-
A GLPI fejlesztői két veszélyes biztonsági résről számoltak be.
-
Öt biztonsági rést foltoztak be a GitLab fejlesztői.
-
A FreeRDP-hez öt patch vált elérhetővé.
-
A Dell biztonsági frissítést adott ki a Custom VMware ESXi-hez.
-
A Google kritikus veszélyességű sebezhetőségeket orvosolt a Chrome webböngésző kapcsán.
-
Az IBM QRadar SIEM-hez egy biztonsági javítás érkezett.
-
A Fortinet FortiNAC-F kapcsán egy biztonsági hibára derült fény.
-
A Firefox legújabb kiadása számos sebezhetőséget orvosolt.
-
A CrushFTP fejlesztői egy biztonsági rést foltoztak be.
-
A GNU C Library kapcsán egy veszélyes biztonsági résre derült fény.
G Data AntiVirus 10 eszköz 2 év Új licenc | |
58500 Ft | |
F-Secure Total 1 év 7 eszköz | |
24990 Ft | |
ESET Home Security Premium 1 eszköz 2 év Új licenc | |
29990 Ft | |
Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.
Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.