Показать сообщение отдельно

Re: IT-безопасность-свежие новости.
Старый 21.08.2013, 13:45   #865
Banned
 
Регистрация: 07.06.2012
Сообщений: 2 699

Anthrax13 вне форума

IT-безопасность-свежие новости.


Уязвимость в LastPass позволяла получить доступ к паролям пользователей, именно в расширении для Internet Explorer была обнаружена критическая уязвимость, позволявшая считать пароли злоумышленнику.
Суть уязвимости заключается в том, что функция автозаполнения LastPass в Internet Explorer размещает данные аутентификации незашифрованными в полях, а это открывает злоумышленнику провести атаку путём создания дампа процесса, в файле которого можно будет получить все пароли, которые были введены пользователем за время рабочей сессии. В случае, если пользователь вышел из браузера, то все пароли автоматически очищаются. Впрочем, такой тип атак через запись дампа довольно нетривиален и требует от злоумышленника по меньшей мере физического доступа к пользовательской учётной записи. Расширения в других браузерах данной уязвимости не подвержены, поэтому снятие дампа не даст доступа к введённым паролям. В качестве решения проблемы разработчики рекомендуют в срочном порядке обновить расширение для Internet Explorer до версии 2.0.20, в которой данная уязвимость ликвидирована.
Стоит понимать, что хотя LastPass и декларирует свои решения как безопасные, отдельные реализации на платформах (а кроме браузеров поддерживаются также Android, iOS, Windows Phone, webOS, Windows Mobile, Blackberry и Firefox OS) могут содержать уязвимости, которые потенциально позволят получить данные злоумышленнику. У самого Internet Explorer есть собственные механизмы обеспечения сохранности паролей — это механизм DPAPI, в котором пароли зашифрованы с помощью уникального пользовательского ключа, поэтому даже если злоумышленник сможет получить данные удалённо, то расшифровать их не сможет. Этот же механизм использует и Google Chrome, но там реализация проще, так как инженеры поисковой корпорации предпочли не использовать энтропию при шифровании, поэтому задача расшифровки несколько упрощается. В Windows 8 добавлен ещё один слой защиты, требующий дополнительной аутентификации для прочтения паролей. Впрочем, все эти методы защиты по большей части бесполезны в том случае, если у злоумышленника есть физический доступ к учётной записи пользователя, поэтому сторонний менеджер паролей с включённой двухфакторной аутентификацией может быть более надёжным способом хранения, чем хранение в браузере.

http://www.pcmag.com/
  Ответить с цитированием
6 пользователя(ей) сказали cпасибо:
 
Яндекс.Метрика