ΑρχικήSecurityΔύο ευπάθειες επηρεάζουν το LastPass | Εκθέτουν πλήρως τον κωδικό

Δύο ευπάθειες επηρεάζουν το LastPass | Εκθέτουν πλήρως τον κωδικό

Η 27η Ιουλίου 2016, δεν θα μείνει στην ιστορία ως μια ήσυχη μέρα για την ομάδα της LastPass, καθώς δύο ευπάθειες που εμφανίστηκαν online, θα μπορούσαν να επιτρέψουν σε έναν εισβολέα να θέσει σε κίνδυνο την εφαρμογή τους.

Το πρώτο είναι ένα ζήτημα που ανακαλύφθηκε από τον Mathias Karlsson του Detectify. Ο ερευνητής εξηγεί σε ένα blog post ότι το πρόβλημα που υπήρχε στον JavaScript κώδικα που ανέλυε το URL της LastΡass σελίδας δούλευε από πάνω.

Δύο ευπάθειες επηρεάζουν το LastPass | Εκθέτουν πλήρως τον κωδικό

Ανακάλυψε ότι ξεγελώντας έναν χρήστη να μπει σε μια διεύθυνση URL με τη μορφή attacker-site.com/@twitter.com/@script.php, η LastΡass URL parsing λειτουργία θα τον ξεγελούσε για να νομίζει ότι ήταν στο twitter.com, αντί στο attacker-site.com.

#secnews #tiktok 

Το TikTok ετοιμάζεται για κλείσιμο στις ΗΠΑ την Κυριακή; Το TikTok φέρεται να ετοιμάζεται για άμεσο και πλήρες κλείσιμο την Κυριακή 19 Ιανουαρίου, σύμφωνα με το The Information. Άτομα που γνωρίζουν το θέμα είπαν στη δημοσίευση ότι η εφαρμογή θα απενεργοποιηθεί απότομα στις ΗΠΑ μετά από πιθανή απαγόρευση, αντί να παραμείνει λειτουργική για άτομα που την έχουν ήδη κατεβάσει. Αυτό σημαίνει ότι εάν είστε χρήστης του TikTok στις ΗΠΑ, μπορεί να χάσετε εντελώς τη λειτουργικότητα την Κυριακή, εκτός εάν το Ανώτατο Δικαστήριο παρέμβει και μπλοκάρει την επερχόμενη απαγόρευση.

00:00 Εισαγωγή
00:48 Τερματισμός λειτουργίας?
01:30 Φήμες για τον Elon Musk

Μάθετε περισσότερα: https://www.secnews.gr/637731/tiktok-proetoimazetai-ameso-kleisimo-ipa-kiriaki/

Follow us:
Facebook:  https://www.facebook.com/SecNews 
Instagram:  https://www.instagram.com/secnews.gr/  
X (Twitter):   https://twitter.com/Secnews_GR
TikTok:    https://www.tiktok.com/@secnewsgr

#secnews #tiktok

Το TikTok ετοιμάζεται για κλείσιμο στις ΗΠΑ την Κυριακή; Το TikTok φέρεται να ετοιμάζεται για άμεσο και πλήρες κλείσιμο την Κυριακή 19 Ιανουαρίου, σύμφωνα με το The Information. Άτομα που γνωρίζουν το θέμα είπαν στη δημοσίευση ότι η εφαρμογή θα απενεργοποιηθεί απότομα στις ΗΠΑ μετά από πιθανή απαγόρευση, αντί να παραμείνει λειτουργική για άτομα που την έχουν ήδη κατεβάσει. Αυτό σημαίνει ότι εάν είστε χρήστης του TikTok στις ΗΠΑ, μπορεί να χάσετε εντελώς τη λειτουργικότητα την Κυριακή, εκτός εάν το Ανώτατο Δικαστήριο παρέμβει και μπλοκάρει την επερχόμενη απαγόρευση.

00:00 Εισαγωγή
00:48 Τερματισμός λειτουργίας?
01:30 Φήμες για τον Elon Musk

Μάθετε περισσότερα: https://www.secnews.gr/637731/tiktok-proetoimazetai-ameso-kleisimo-ipa-kiriaki/

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3LmwzLW9hN1dmOEZ3

Το TikTok ετοιμάζεται για κλείσιμο στις ΗΠΑ την Κυριακή;

SecNewsTV 21 hours ago

Η Κίνα θα κατασκευάσει τεράστιο ηλιακό σταθμό στο διάστημα

SecNewsTV 15 Ιανουαρίου 2025, 16:26 16:26

Επειδή το LastPass έρχεται με μια λειτουργία αυτόματης συμπλήρωσης, η εφαρμογή αυτή θα είχε προ-συμπληρώσει οποιαδήποτε μορφή σύνδεσης σε εκείνη την σελίδα με τα διαπιστευτήρια του χρήστη.

Εάν ο εισβολέας έτρεχε έναν JavaScript κώδικα σε αυτό το site που αυτόματα θα ανέλυε και θα κατέγραφε οποιοδήποτε κείμενο συμπληρώνεται στις φόρμες σύνδεσης, θα ήταν σε θέση να πάρει τα διαπιστευτήρια του χρήστη.

Τα καλά νέα είναι ότι ο Karlsson ενημέρωσε το LastΡass για το θέμα λίγο πριν και η ομάδα προγραμματιστών διόρθωσε το πρόβλημα την ίδια ημέρα, βγάζοντας μια ενημερωμένη έκδοση της εφαρμογής τους.

Ωστόσο, ο Karlsson δεν ήταν ο μόνος που χάκαρε το LastΡass. Ο Google Project Zero κορυφαίος ερευνητής, Tavis Ormandy ,ανακάλυψε και ένα θέμα που θα μπορούσε να οδηγήσει στην πλήρη έκθεση του LastΡass.

Τα κακά νέα είναι ότι αυτό το ζήτημα δεν είναι patched στις τρέχουσες LastΡass εκδόσεις. Τα καλά νέα είναι ότι κανένας εκτός από τον Ormandy και την LastPass ομάδα δεν γνωρίζει τι είναι αυτό το πρόβλημα, καθιστώντας το εξαιρετικά απίθανο για οποιονδήποτε να το εκμεταλλευτεί.

Αυτό θα κανονικά θα ονομαζόταν zero-day ευπάθεια, αλλά αυτή δεν είναι η περίπτωση, δεδομένου ότι κανείς δεν μπορεί να επωφεληθεί από αυτό πριν patch-αριστεί.

Η ομάδα LasΡass έχει επιδιορθώσει και το δεύτερο ελάττωμα. Η ομάδα περιγράφει το πρόβλημα στο blog της ως εξής:

«Η δεύτερη έκθεση έγινε χθες από τον Google Security Team ερευνητή Tavis Ormandy, ο οποίος επικοινώνησε με την ομάδα μας για να αναφέρει ένα message-hijacking bug που επηρέασε το LastPass Firefox addon. Κατ’ αρχάς, ένας εισβολέας θα πρέπει να δελεάσει με επιτυχία έναν LastPass χρήστη για να αποκτήσει πρόσβαση σε μια κακόβουλη ιστοσελίδα. Μόλις εισέλθει, ο Ormandy απέδειξε ότι η ιστοσελίδα, μετά, θα μπορούσε να εκτελέσει LastΡass ενέργειες στο παρασκήνιο χωρίς τη συγκατάθεση του χρήστη, όπως τη διαγραφή στοιχείων. Αυτό το ζήτημα έχει αντιμετωπιστεί πλήρως και μια ενημέρωση με μια επιδιόρθωση στάλθηκε σε όλους τους χρήστες του Firefox με τη χρήση του LastΡass 4.0.»

spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS