Digiturvatulkki

takaisin etusivulle

LastPass-selainlaajennukseen automaattinen päivitys haavoittuvuuden paikkaamiseksi

Tulkkaamme caseja, joissa digiturva on syystä tai toisesta pettänyt.
Tulkkaamme ilmiöitä, jotka vaikuttavat digiturvan toteuttamiseen.
Tulkkaamme teknologiauutisia, joilla on vaikutuksia digiturvaan.
case
ilmiö
teknologia
LastPass
ohjelmistopäivitys
haavoittuvuudet

Tulkattava artikkeli

Viitattu
19.9.2019
osoitteessa
https://www.grahamcluley.com/lastpass-users-automatically-updated-to-fix-security-vulnerability-in-browser-extension/
Popular password manager LastPass says that it has fixed a vulnerability in its Chrome and Opera browser extensions that could have potentially seen an attacker steal the username and password filled-in by the software on the previously-visited website. In other words, you are someone using LastPass, you use LastPass to log into a website, you then visit a malicious webpage that – through some jiggerypokery – tricks the browser extension into serving up the password again.
Lue koko alkuperäinen artikkeli

Tiivistelmä

eli avainasiat yläpuolen artikkelista
LastPass-salasanahallintajärjestelmässä havaittiin tekninen haavoittuvuus, joka korjattiin, päivitettiin ja viestittiin pikaisesti. Salasanahallintakaan ei ole haavoittumatonta, mutta suurin osa käyttäjistä on sen kanssa selvästi paremmassa turvassa kuin ilman.

Tulkin kommentit

Tiivistämme uutisten ydinsisällön ja opetukset selkokielellä.

LastPass on yksi maailman suosituimmista salasananhallintajärjestelmistä, jota Suomessakin käytetään aktiivisesti. Sen pääideana on auttaa käyttäjää luomaan turvallisia salasanoja, säilyttää niitä turvallisesti holvissa ja tarjoilla sitten oikeita tunnuksia oikeiden sivustojen kirjautumisissa.

Järjestelmä toimii paljolti selainlaajennuksena, joissa Chrome- ja Opera-selaimilla korjattiin hiljattain haavoittuvuus. Haavoittuvuuden avulla huijari olisi mahdollisesti voinut hämätä käyttäjää tekemään useita klikkauksia ja päätymään haitalliselle verkkosivulle, joka olisi hämännyt laajennuksen paljastamaan äskettäin käytetyn salasanan uudelleen tällekin sivustolle.

Mikä meni pieleen?
Kuinka vältät vastaavan?
Haavoittuvuus löytyi Bug bounty -ohjelman avulla

Haavoittuvuus liittyi laajennuksen tapaan luoda popup-ikkunoita, joiden kautta käyttäjälle annetaan salasanoihinsa liittyviä ilmoituksia. Tavis Ormandy ilmoitti LastPass:lle haavoittuvuudesta. LastPass tarjoaa bug bounty -ohjelmansa kautta 5000 dollaria tietoturvatutkijoille, jotka paljastavat heikkouksia.

LastPass kertoi haavoittuvuudesta tarkemmin vasta, kun aukko oli paikattu ja päivitys automaattisesti julkaistu käyttäjille.

Huomioita ja vinkkejä
Salasanahallinta kannattaa

Vaikka voi olla pelottavaa kuulla heikkouksista salasanahallintajärjestelmässä, kannattaa kiinnitää huomiota myös siihen, miten aktiivisesti haavoittuvuuksia haetaan, korjataan ja niistä viestitään. Tulkki on sitä mieltä, että suurin osa käyttäjistä on paljon paremmassa turvassa salasanahallinnan kanssa kuin ilman sitä.

Laajennus päivittyi automaattisesti - haluatko kuitenkin tarkistaa versiosi?

Selainlaajennus päivittyy ilman käyttäjän toimenpiteitä. Versio 4.33.0 korjasi haavoittuvuuden. Jos haluat varmistaa että laajennuksesi on ajan tasalla, voit tehdä sen klikkaamalla LastPass-kuvaketta, valitsemalla "Lisää valintoja" -> "About LastPass". Näet täältä nykyisen versionumerosi.

case
ilmiö
teknologia
LastPass
ohjelmistopäivitys
haavoittuvuudet