ニュースソース:LastPass
以下は2017年3月27日に公開されたSecurity Update for the LastPass Extensionを要約したものです。
Googleセキュリティ研究者であるTavis Ormandyによって、LastPassブラウザ拡張でのクライアントサイドの脆弱性が発見されました。
LastPassでは、この脆弱性への修正対応を進めています。今回の攻撃は独特であり、とても洗練されたものです。
脆弱性、修正の詳細に関しては、修正対応が完了した後に公開する予定です。
LastPassは、TavisのようにLastPassのセキュリティに関して警告をして、LastPassを最も安全なパスワード管理ツールとして維持してくれる皆さんに感謝しています。
今回、修正対応が完了するまでの間、ユーザーがクライアントサイドの脆弱性から身を守るためのステップを下記に提供します。
- LastPass Vault(LastPass保管庫)から直接サイトを立ち上げてください。今回の脆弱性が解決するまでは、それが一番安全に資格情報とサイトにアクセスする方法です。
- 可能な限りご自身のアカウントにTwo-Factor Authentication(2要素認証)を設定して下さい。近年、多くのサイトが追加のセキュリティ対策としてTwo-Factor Authentication(2要素認証)のオプションを提供しています。
- 常にフィッシングを警戒してください。知らない人からのリンク、または知っている人からでも関連性の無さそうなリンクはクリックしないで下さい。LastPassのフィッシングプライマーをご確認ください。
パッチが完了したらまたお知らせいたします。