password

LastPass lukker alvorligt hul i browser-udvidelser

Dansk

Sikkerhedsforsker Tavis Ormandy fra Google opdagede sårbarheden, der ligger i håndteringen af variabler mellem browserudvidelsen og de websteder, den udfylder passwords i.

LastPass anvender såkaldte isolerede verdener til at holde funktioner og variabler i udvidelsen skjult for de websider, den interagerer med. Men i nogle tilfælde kan det lade sig gøre at indsætte data i variabler. Dermed kan en skadelig webside få adgang til udvidelsens private data.

Hul i LastPass står åbent

Dansk

I sidste uge lukkede LastPass flere huller, som Tavis Ormandy havde fundet. Nu har han fundet et nyt.

LastPass oplyser, at firmaet er i gang med at fjerne den nyopdagede sårbarhed. Det betegner angrebet som enestående og meget sofistikeret.

Yderligere informationer om sårbarheden kommer først, når den er rettet.

LastPass anbefaler, at man åbner websteder fra LastPass Vault for at undgå at komme ind på falske sider.

Anbefaling

Afvent opdatering fra LastPass.

LastPass lukker sikkerhedshuller

Dansk

Sårbarhederne fandtes i browser-udvidelser til tjenesten. De er lukket med de seneste versioner til følgende browsere:

  • Firefox: 4.1.36
  • Chrome: 4.1.43.82
  • Edge: 4.1.30
  • Opera: 4.1.28

Også version 3.3.4 til Firefox er rettet. Men da version 3 trækkes tilbage i næste måned, anbefales brugere at opdatere til version 4.

Nogle af versionerne kan være forsinket i udbydernes webbutikker. Hvis det er tilfældet, kan man hente nyeste version direkte hos LastPass.

LastPass arbejder på at lukke sikkerhedshuller

Dansk

Sikkerhedsforsker Tavis Ormandy fra Google har fundet tre sikkerhedshuller: Et i udvidelsen til Firefox og to i udvidelsen til Google Chrome.

LastPass oplyser, at hullet i Firefox er lukket, men at den rettede version afventer godkendelse fra Mozilla, som står bag Firefox. Fejlen findes i version 3.3.2, som er på vej til at blive trukket tilbage. Fremover vil kun version 4 blive understøttet.

Ifølge LastPass er det ene hul i Chrome-udgaven også lukket. Flere brugere rapporterer dog, at de fortsat kan aktivere sårbarheden via en testside, Tavis Ormandy har lavet.

Udviklere af password manager-programmer lukker huller

Dansk

En gruppe sikkerhedsforskere fra Fraunhofer Institute for Secure Information Technology i Tyskland har analyseret de mest populære password manager-programmer på Google Play. De fandt en række sikkerhedshuller, der nu er lukket.

En password manager opbevarer alle brugerens passwords. De er beskyttet med et master-password.

Det viste sig, at nogle apps lagrede master-passwordet ukrypteret på smartphonen. Andre krypterede det, men lagde krypteringsnøglen i programkoden, så en angriber havde mulighed for at finde den.

Adgangskodesikkerhed

Oplyser du dit password til en fremmed i telefonen, der præsenterer sig som medarbejder i supporten?

Dette eksempel på it-sikkerhedsproblemer i en universitetsansats hverdag er taget fra en samlet video om emnet. Den er fremstillet i et samarbejde mellem DKCERT og de otte danske universiteter.

Formålet er at fremme bevidstheden om informationssikkerhed hos ansatte og studerende.

Dansk

Password

Hvad er et godt password?

Et godt password er mindst 10 tegn langt, men gerne længere. Det indeholder både store og små bogstaver, tal og eventuelt andre typer tegn. Det er ikke et ord, man kan finde i en ordbog eller på nettet. Brug forskellige passwords til forskellige tjenester. Nogle systemer tillader såkaldte passphrases, der er længere kombinationer af ord.

Dansk
Abonnér på RSS - password