菜单
2017年马可22日 | 经过

Atualizações de segurança importantes para nossos usuários

2017年3月25日(下午5:00)更新:我们的团队目前正在调查Tavis Ormandy的一份新报告,当我们有更多细节时将更新我们的社区。谢谢你!

Descoberta de Infidente:22 deMarçode2017(14H30)

GostaríamosManter Nossa Comunidade Informadade Sobre作为vullnerabilidades descobertas最近的Por Tavis Ormandy,UM Pesquisador deSegurançaDa等分之笔项目Zero do Google。

Esta publicação é longa。在Portanto,我想à vontade para os principais destaques的seção " Visão geral ",我们的一个深刻的原因是它超过了seções。

Visao;

  • o Pesquisador deSegurançaTavisOrmandy Identivingou Resementee Duas vullnerabilidades
  • Até一份现有资料,nossa investigação não identificou a perda ou comprometimento de dados sensíveis de nenum usuário
  • Todas extensões receberam correções e estão sendo relançadas para os usuários
  • nossos aplicativosmóveispara android e iosnãoforam afetados
  • Não é necessário alterar a senha mestre
  • Não é necessário alterar a senha de nenum网站
  • Verifique Sevocêestáecutando为versõesmais reashes dos nossos softwares
    • A Mairia DosUsuáriosTeverbemAtualizações自动名称,MASverssõesmais redisesestãosemperdisponíveisCOM /下载
    • Clique no ícone do LastPass > Mais opções >清醒LastPass para verificar合格é a sua versão
      • Firefox:4.1.36
      • Chrome:4.1.43.82.
      • 边缘:4.1.30(AguardandoAprovaçãoMicrosoft)
      • 歌剧:4.1.28(AguardandoAprovação歌剧)

O, aconteceu

那是última semana,我是Tavis Ormandy,记得零计划,记得谷歌,记得告诉descoberto杜斯vultnerabilidades.ànosa等分que afetaramváriasextensõesdo lastpass para navegadores。os问题relatados afetaramusuáriospessoais e Corporativos。

他很容易受到攻击,他的首要入侵是usuário他的意图是错误的。在这个网站上,Tavis向入侵者展示了自己的信息,并将其发送到código arbitrário,然后发送到confiável。如果你是入侵者,你可以登陆informações,登陆邮箱usuário,登陆邮箱expô-las。

Bug de Sequestro de mensagens naVersão3.3.2 daextensãolastpass para firefox

o que foi descoberto:
Com base no process so de análise de URL feito pela versão 3.3.2 da nossa extensão para Firefox, sites mal-intencionados poderiam篡改站点legítimos para enganar a extensão do LastPass, que forneceria as credenciais do usuário naquele网站。

esse bug foi.Relatadoànossa等分无Ano PassadoE标志为正确。不同意,não repassamos a correção para as versões 3.3。x mais antigas da extensão para Firefox, pois a desativação正式delas está programada para abril。

哦,você精确的军刀:

虫儿不在地上

o que foi descoberto:
问题那arquitetura做recurso integração的客户afetou extensões我们的esse código (Chrome, Firefox, Edge)。网址是malintencionado poderia enganar,它的LastPass是它的网址confiável是它的网址。Os usuários que usam o componente binário do LastPass (menos de 10% da base do LastPass) estavam ainda mais suscetíveis à exploração remota quando atraídos para um site malintencionado。

2016年的bug数据,在integração的客户中进行了实验,网址是usuários。没有关系,o código está呈现他们的今天为extensões做LastPass para Chrome, Firefox e Edge。

Ao tomar ciência da vulnerabilidade, a equipe do LastPass desativou imediatamente o serviço vulnerável e começou a trabalhar na atualização de todas as extensões afetadas。

Enquanto trabalhava na correção de nossa extensão, TavisTwitou.(MasJá排除o Tweet)Sobre Mais UM问题。Para deixar Claro,Foi o Mesmo问题em dois navegadores diferentes。ISSO CAIROUCONFUSãoSobreA Quallidade de问题e andamento dascorreções。

哦,você精确的军刀:

  • A FIM de Everinar Esta vulterabilidade Por Transpoor,enviamosatualizaçõespara todos OsUsuárioseRelançamoSversões。
  • 例如extensões para Chrome e Firefox já estão disponíveis, enquanto As versões para Edge e Opera ainda aguardam a aprovação de suas respectivas lojas de appliativos。
  • Como Parte Desse Processo,Analisamos Exaustivamente Todas作为Outras扩展了(E NOS Instaladores)Que Usam EsteCódigo。

Linha Do Tempo Completa(Horário做Leste Dos Eua):

Bug de Sequestro de mensagens naVersão3.3.2 daextensãolastpass para firefox

  • 10 de março: O LastPass anuncia a desativação formal das versões 3.3。x de sua extensão para Firefox
  • 15 de março, 22h45: Anúncio da vulnerabilidade de sequestro de mensagens na versão 3.3.2 da extensão LastPass para Firefox
  • 15 deMarço,22h48:o lastpass there the to do bug naVersão3.3.2 de suaextensãopara firefox e Inicia suasInvestigações
  • 17 de março, 8h43: O LastPass envia uma correção para a Mozilla com versão 3.3.4 de sua extensão para a Firefox

虫儿不在地上

  • 20 de março, 19h20: Anúncio do bug nos conectores de sites na versão 4.1.42 do LastPass para Chrome
  • 20 de março, 19h36: O LastPass inicia sua investigação de segurança em diversas funções做软件
  • 21 deMarço,0H15:o LastPass Desativa OServiçovulnerávelem seu servidor
  • 21 deMarço,7H04:o Lastpass anuncia queestátrabalhandoono servidor enquanto conduz UmaAnálisefultadocódigopara solucionar overmente os问题nas extense
  • 22 de março, 0h10: O LastPass lança a versão 4.1.36 de sua extensão para Firefox já com a correção
  • 22 de março, 12h07: O LastPass lança a versão 4.1.43.82 de sua extensão para Chrome já com a correção
  • 22 deMarço,13H55:o Lastpass Envia AVersão4.1.30 de SuaExtensãoPara Edge ParaLançamento
  • 22 de março, 14h49: O LastPass lança a versão 4.1.28 de sua extensão para Opera já com correção emCOM /下载;哦lançamento取决于你

让我们肃然起敬práticas de segurança pessoal

SABEMOS Que OSUSUÁRIOSDO LASTASS TENAM SEGUIR MelhoresPRÁTICASDESEGURANÇA,MASNuncaéEMAISRelembrar Como Proteger SEU Computador Para Manter Seus Dados Seguros:

  • 钓鱼是不可能的。Não团体为他们的利益和他们的利益联系在一起,他们想在comunicação的contatos和他们的后contatos之间建立联系você confia。
  • 使用uma senha diferente para cada conta在线。
  • 使用UMA Senha Mestre Segura Para Sua Conta Lastpase e Nunca A Divulgue ParaNutebém,Nem ParaNós。
  • Atial aautenticaçãodedois fatores no lastpass e em outrosserviçoscomo banco,conta de电子邮件,推特,facebook等。
  • Mantenha seu computador segurança com antivírus e softwareatualizados。

o que vem poraí

Para evitar Que问题Como EssesAconteçam,Estamos Revisando eReforçandoOS Processos deAnálisedeCódigoEdeSegurançaQueEstãoMETOVOR,Especialmente EM reCoSoso Novos E实验。

精密测量器segurança é基本参数nós。这是一个永恒的问题。他是零号计划的成员,他是白帽部队的成员。我们对segurança的功能进行了详细的分析responsável,并认可它的LastPass,但它更重要的是atenção。Agradecemos previamente为contribuições de todos os pesquisadores em nosso program de related de bugs:https://bugcrowd.com/lastpass

- - -

22 de março de 2017 (11h12)

Ao longo da última semana, trabalhamos com o pesquisador de segurança do谷歌Tavis Ormandy para investigations e corrigir vulnerabilidades recém-descobertas。这是一部完整的电影máximo de informações para você。告诉我简短的信息relatório最后要做的事情是,mas, por ora, queremos apesar, resume, para nosade。

O, aconteceu
na noite do may 20 demarço,fomos informados sobre um问题nversão4.1.42.80 da nossaextensãopara chrome。Iniciamos imediatamente UmaInvestigaçãoe,Em Poucas Horas,Aplicamos UmaCorreçãoEm Nosso Servidor。漏洞的AFETAVA TODAS作为延长的to last tolastõDO DO-CHROME,Firefox,Edge - Que Tinham UM Refurse Deperation deIntegraçãodeUsuários。

没有Dia 21 DeMarço,Infropemos OutraInformaçãorighteReàversão4.1.35a para firefox。Na verdade,essa vulterabilidade时代一个mesma descoberta没有直接前afetava aextensão4.x firefox。Emera Este问题A Tenha Sido Resolvido overmente nossacorreçãoa fim de Acompanhar o trabalhoquevínhamosfazendo,EstaInformaçãoFoiCoverbidaAntes DoLançamento。Lançamosumaatualização,Versão4.1.36a para firefox,por volta da 0h15(Leste dos eua)de hoje para atender特定的Aessa vulterabilidade。

AsCorreçõesStãoSenviadasPara Todos OSUsuários,E A Maior Parte Delas Deve Ser Aplicada自动化。

NãoHáIndíciosde que作为vullnerabilidades descobertas tenham sido Exploradas Por Invasores,Mas Continuamos Fazendo UmaAnálisefignapara confirmar eseses dados。Divulgaremos em Breve Um Resumo Mais Harlangente Do Que Aconteceu E ComInformaçõesQue Nossa Comunidade Precisa Saber。没有Monemo,OSUsuáriosNãoPrecisamAlterar Suas Senhas。


Comentar / Ler OSComentários

留下一个回复

Deixe乌玛resposta