Lastpass 브라우저 확장 취약점 밝혀 : 안전한 방법

가장 인기있는 패스워드 매니저 중 하나 인 LastPass는 지난 주 동안 여러 가지 취약점이 서비스에 공개되었으므로 브라우저 확장으로 심각한 문제에 직면 해 있습니다.

기술은 계속 진화하고 있으며, 라이프 스타일을 향상시키기위한 것이지만 때로는 수천만 개의 암호를 보호하는 LastPass와 같은 서비스가 우려 될 때 특정 버그가 악용되는 경우에도 손상 될 수 있습니다.

지난 3 월 20 일, Google의 Project Zero의 연구원 인 Tavis Ormandy는 LastPass의 브라우저 확장에서 사용자가 원격 코드 실행에 취약해질 수있는 두 가지 버그를 발견했습니다.

공개 된 취약점은 비즈니스 및 개인 사용자 모두에게 영향을 미쳤습니다.

지난 주에 공개 된 취약성?

3 월 20 일: Tavis Ormandy는 LastPass의 브라우저 확장에 영향을 미쳐 잠재적으로 공격자가 암호를 도용 할 수있는 두 가지 원격 코드 실행 (RCE) 취약점을 찾습니다.

죄송합니다. 4.1.42 (Chrome & FF)에 영향을주는 새로운 LastPass 버그. RCE를 사용하면 "이진 구성 요소"를 사용합니다. 그렇지 않으면 pwds를 도용 할 수 있습니다. 길에 대한 완전한보고. pic.twitter.com/y92vm3Ibxd

- Tavis Ormandy (@taviso) 2017 년 3 월 20 일

3 월 21 일: LastPass는 Ormandy의 보고서를 인정하고 취약점이 존재하며 팀이 문제를 해결하기 위해 노력할 것임을 확인합니다.

Google은 @taviso의 보고서를 알고 있으며 해결을 위해 노력하는 동안 팀에서 해결 방법을 제시했습니다. 최신 정보를 기다리십시오.

- LastPass (@LastPass) 2017 년 3 월 21 일

3 월 22 일: 회사는 보안 업데이트가 포함 된 새로운 버전의 Chrome (v 4.1.43) 및 Firefox (v 4.1.36) 브라우저 확장을 출시했다고 발표했습니다.

그들은 또한이 기간에 데이터가 훼손되지 않았으며 사용자는 자격 증명을 변경하는 것에 대해 걱정할 필요가 없다고 언급했습니다. Microsoft Edge 및 Opera 브라우저 확장의 업데이트 된 버전은 회사 승인 대기 중으로 발표 될 예정입니다.

3 월 25 일: Tavis Ormandy는 업데이트 된 버전의 Chrome 브라우저 확장 프로그램 (v 4.1.43)이 직면 한 또 다른 취약점을 발견했습니다. LastPass는 3 월 22 일 발표에서이 취약점을 인정합니다.

아하, 오늘 아침 소나기에 출현했다. LastPass 4.1.43에서 codeexec을 얻는 방법을 깨달았다. 전체 보고서 및 악용 사례. pic.twitter.com/vQn20D9VCy

- Tavis Ormandy (@taviso) 2017 년 3 월 25 일

3 월 27 일: LastPass는 "우리는 취약점을 적극적으로 다루고 있지 않습니다. 이 공격은 독특하고 매우 정교합니다. 덜 정교하지만 사악한 당사자들에게 어떤 것도 드러 낼 수있는 취약점이나 수정에 관한 구체적인 정보를 공개하기를 원하지 않습니다."

안전을 유지하는 방법?

현재 LastPass는 서비스와 관련하여 보안 문제를 해결하기 위해 노력하고 있으며 곧 모든 수정 사항을 예상 할 수 있습니다. 그동안 LastPass 사용자는 다음 예방 조치에 유의해야합니다.

• 로그인 자격 증명을 보호하려면 그 동안 브라우저 확장을 비활성화하고 회사에서 취약점을 해결할 때까지 LastPass Vault에서 직접 웹 사이트를 시작하는 것이 좋습니다.
• 옵션을 제공하는 모든 계정에 대해 Two-Factor Authentication을 설정하여 공격자가 취약점을 악용 할 경우 계정에 보안 계층을 추가하십시오.
• 피싱 공격에주의하십시오. 신뢰할 수없는 출처의 링크를 클릭하지 마세요 - 모르는 사람들

LastPass의 대안을 찾으십니까? 상위 3 가지 대안을 확인하십시오.