CyberNow
haavoittuvuudet
ohjelmistopäivitys
LastPass
salasanahallinta

LastPass-selainlaajennukseen automaattinen päivitys haavoittuvuuden paikkaamiseksi

Kärryillä digiturvasta? Tilaa CyberNow-sisältöjä
Tilaa ilmaiset sisällöt
Viitattu
4.11.2019
osoitteessa
https://www.grahamcluley.com/lastpass-users-automatically-updated-to-fix-security-vulnerability-in-browser-extension/

Tiivistämme ja tulkkaamme opetuksineen selkokielelle säännöllisesti viikon tärkeimpiä digiturvauutisia.

Tulkattu artikkeli

Digiturvatulkin kommentit

LastPass on yksi maailman suosituimmista salasananhallintajärjestelmistä, jota Suomessakin käytetään aktiivisesti. Sen pääideana on auttaa käyttäjää luomaan turvallisia salasanoja, säilyttää niitä turvallisesti holvissa ja tarjoilla sitten oikeita tunnuksia oikeiden sivustojen kirjautumisissa.

Järjestelmä toimii paljolti selainlaajennuksena, joissa Chrome- ja Opera-selaimilla korjattiin hiljattain haavoittuvuus. Haavoittuvuuden avulla huijari olisi mahdollisesti voinut hämätä käyttäjää tekemään useita klikkauksia ja päätymään haitalliselle verkkosivulle, joka olisi hämännyt laajennuksen paljastamaan äskettäin käytetyn salasanan uudelleen tällekin sivustolle.

Mikä meni pieleen?

Kuinka vältät vastaavan?

Haavoittuvuus löytyi Bug bounty -ohjelman avulla

Haavoittuvuus liittyi laajennuksen tapaan luoda popup-ikkunoita, joiden kautta käyttäjälle annetaan salasanoihinsa liittyviä ilmoituksia. Tavis Ormandy ilmoitti LastPass:lle haavoittuvuudesta. LastPass tarjoaa bug bounty -ohjelmansa kautta 5000 dollaria tietoturvatutkijoille, jotka paljastavat heikkouksia.

LastPass kertoi haavoittuvuudesta tarkemmin vasta, kun aukko oli paikattu ja päivitys automaattisesti julkaistu käyttäjille.

Huomioita ja vinkkejä

Salasanahallinta kannattaa

Vaikka voi olla pelottavaa kuulla heikkouksista salasanahallintajärjestelmässä, kannattaa kiinnitää huomiota myös siihen, miten aktiivisesti haavoittuvuuksia haetaan, korjataan ja niistä viestitään. Tulkki on sitä mieltä, että suurin osa käyttäjistä on paljon paremmassa turvassa salasanahallinnan kanssa kuin ilman sitä.

Laajennus päivittyi automaattisesti - haluatko kuitenkin tarkistaa versiosi?

Selainlaajennus päivittyy ilman käyttäjän toimenpiteitä. Versio 4.33.0 korjasi haavoittuvuuden. Jos haluat varmistaa että laajennuksesi on ajan tasalla, voit tehdä sen klikkaamalla LastPass-kuvaketta, valitsemalla "Lisää valintoja" -> "About LastPass". Näet täältä nykyisen versionumerosi.

Tietosuojamalliin luottavat isot ja pienet, yritykset, kunnat ja järjestöt.

Haluatko tietää lisää?

Ota yhteyttä tai varaa demo.