Η Click Studios διορθώνει ευπάθεια στο Passwordstate
SecNews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Η Click Studios διορθώνει ευπάθεια στο Passwordstate
https://www.secnews.gr/657602/click-studios-eupatheia-passwordstate/
Aug 29th 2025, 16:13
by Digital Fortress
Η Click Studios, η εταιρεία πίσω από τη λύση διαχείρισης κωδικών πρόσβασης Passwordstate, κυκλοφόρησε ενημερώσεις ασφαλείας για να αντιμετωπίσει μια ευπάθεια παράκαμψης ελέγχου ταυτότητας.
Το ζήτημα, το οποίο δεν έχει ακόμη λάβει αναγνωριστικό CVE, έχει αντιμετωπιστεί στην έκδοση Passwordstate 9.9 (Build 9972), που κυκλοφόρησε στις 28 Αυγούστου 2025. Η αυστραλιανή εταιρεία δήλωσε ότι διόρθωσε μια ευπάθεια που επιτρέπει "πιθανή παράκαμψη ελέγχου ταυτότητας όταν χρησιμοποιείται μια προσεκτικά διαμορφωμένη διεύθυνση URL κατά του Emergency Access page των βασικών προϊόντων Passwordstate". Η τελευταία έκδοση περιλαμβάνει, επίσης, βελτιωμένες προστασίες κατά πιθανών επιθέσεων clickjacking που στοχεύουν το browser extension (του password manager), όταν οι χρήστες επισκέπτονται παραβιασμένες ιστοσελίδες.
Δείτε επίσης: Cisco Nexus 3000 και 9000 Series: Ευπάθεια επιτρέπει επιθέσεις DoS
Αυτά τα μέτρα προστασίας πιθανόν να είναι απάντηση στα ευρήματα του ερευνητή ασφαλείας Marek Tóth, ο οποίος πρόσφατα περιέγραψε μια τεχνική που ονομάζεται Document Object Model (DOM)-based extension clickjacking. Πολλά δημοφιλή password manager browser add-ons είχαν βρεθεί ευάλωτα σε αυτή την τακτική.
"Ένα μόνο κλικ οπουδήποτε, σε μια ιστοσελίδα ελεγχόμενη από επιτιθέμενο, θα μπορούσε να επιτρέψει στους επιτιθέμενους να κλέψουν δεδομένα χρηστών (στοιχεία πιστωτικών καρτών, προσωπικά δεδομένα, διαπιστευτήρια σύνδεσης, συμπεριλαμβανομένων των TOTP)", δήλωσε ο Tóth. "Η νέα τεχνική είναι γενική και μπορεί να εφαρμοστεί σε άλλους τύπους επεκτάσεων".
Σύμφωνα με την Click Studios, ο password manager χρησιμοποιείται από 29.000 πελάτες και 370.000 επαγγελματίες ασφαλείας και IT, συμπεριλαμβανομένων παγκόσμιων επιχειρήσεων, κυβερνητικών οργανισμών, χρηματοπιστωτικών ιδρυμάτων και εταιρειών του Fortune 500.
Passwordstate: Νέο patch της Click Studios και το διαρκές στοίχημα με την ασφάλεια
Η πρόσφατη ενημέρωση της Click Studios για το Passwordstate δεν είναι απλώς μια τυπική διόρθωση σφαλμάτων. Αντιθέτως, έρχεται να υπενθυμίσει πως οι διαχειριστές κωδικών —παρά τον κρίσιμο ρόλο τους στην ψηφιακή καθημερινότητα— βρίσκονται συνεχώς στο στόχαστρο ερευνητών και επιτιθέμενων. Η παράκαμψη ελέγχου ταυτότητας μέσω κατασκευασμένων URL και οι απειλές clickjacking σε browser extensions αναδεικνύουν για ακόμη μια φορά ότι τα εργαλεία που υποτίθεται πως ενισχύουν την ασφάλειά μας μπορούν, υπό προϋποθέσεις, να γίνουν αδύναμοι κρίκοι.
Δείτε επίσης: Passkeys: Η SquareX αποκαλύπτει σημαντική ευπάθεια
Το στοιχείο που κάνει την υπόθεση ακόμη πιο ανησυχητική είναι η ευρύτερη διάσταση της τεχνικής που αποκάλυψε ο Marek Tóth. Η μέθοδος DOM-based extension clickjacking δεν αφορά αποκλειστικά το Passwordstate, αλλά δυνητικά κάθε password manager με browser add-on. Αυτό σημαίνει ότι το ζήτημα δεν είναι μεμονωμένο· είναι διαρθρωτικό και αφορά ολόκληρη την αγορά λύσεων διαχείρισης κωδικών. Με άλλα λόγια, οι χρήστες δεν έχουν να ανησυχούν μόνο για την ασφάλεια του λογισμικού τους, αλλά και για το πώς αυτό αλληλεπιδρά με τον browser και το οικοσύστημα του web.
Ωστόσο, η ευθύνη δεν βαραίνει αποκλειστικά τον πάροχο. Οι οργανισμοί που χρησιμοποιούν password managers πρέπει να υιοθετήσουν μια πιο πολυεπίπεδη στρατηγική ασφάλειας. Τακτικές ενημερώσεις, αξιολόγηση third-party επεκτάσεων, περιορισμός δικαιωμάτων πρόσβασης και ενσωμάτωση ελέγχων zero trust δεν αποτελούν «προαιρετικές επιλογές», αλλά αναγκαίες άμυνες σε ένα τοπίο όπου ακόμα και οι πιο έμπιστες πλατφόρμες μπορεί να παραβιαστούν.
Δείτε επίσης: 28,000+ Citrix instances ευάλωτα σε zero-day ευπάθεια
Το Passwordstate παραμένει ένα από τα πιο διαδεδομένα εργαλεία της αγοράς. Όμως, η νέα ευπάθεια και το patch που ακολούθησε θυμίζουν πως στην ασφάλεια δεν υπάρχουν τετελεσμένα: κάθε ενημέρωση είναι και μια υπενθύμιση ότι η μάχη με τους επιτιθέμενους είναι συνεχής και ασύμμετρη.
Passwordstate: Προηγούμενα περιστατικά ασφαλείας
Αυτή η αποκάλυψη έρχεται περίπου τέσσερα χρόνια μετά από μια παραβίαση της αλυσίδας εφοδιασμού, που επέτρεψε στους επιτιθέμενους να παραβιάσουν τον μηχανισμό ενημέρωσης του λογισμικού για να αναπτύξουν κακόβουλο λογισμικό ικανό να συλλέγει ευαίσθητες πληροφορίες από παραβιασμένα συστήματα.
Επιπλέον, τον Δεκέμβριο του 2022, η Click Studios διόρθωσε πολλαπλές ευπάθειες ασφαλείας στο Passwordstate, συμπεριλαμβανομένου ενός authentication bypass για το API του Passwordstate (CVE-2022-3875, βαθμολογία CVSS: 9.1) που θα μπορούσε να έχει χρησιμοποιηθεί από έναν απομακρυσμένο επιτιθέμενο για να αποκτήσει τους κωδικούς πρόσβασης ενός χρήστη σε απλό κείμενο.
© SecNews.gr - Η Click Studios διορθώνει ευπάθεια στο Passwordstate
You are receiving this email because you subscribed to this feed at https://blogtrottr.com?lctg=1169672
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz?lctg=1169672
IT Security News, Gadgets, Tweaks for Geeks and More
Η Click Studios διορθώνει ευπάθεια στο Passwordstate
https://www.secnews.gr/657602/click-studios-eupatheia-passwordstate/
Aug 29th 2025, 16:13
by Digital Fortress
Η Click Studios, η εταιρεία πίσω από τη λύση διαχείρισης κωδικών πρόσβασης Passwordstate, κυκλοφόρησε ενημερώσεις ασφαλείας για να αντιμετωπίσει μια ευπάθεια παράκαμψης ελέγχου ταυτότητας.
Το ζήτημα, το οποίο δεν έχει ακόμη λάβει αναγνωριστικό CVE, έχει αντιμετωπιστεί στην έκδοση Passwordstate 9.9 (Build 9972), που κυκλοφόρησε στις 28 Αυγούστου 2025. Η αυστραλιανή εταιρεία δήλωσε ότι διόρθωσε μια ευπάθεια που επιτρέπει "πιθανή παράκαμψη ελέγχου ταυτότητας όταν χρησιμοποιείται μια προσεκτικά διαμορφωμένη διεύθυνση URL κατά του Emergency Access page των βασικών προϊόντων Passwordstate". Η τελευταία έκδοση περιλαμβάνει, επίσης, βελτιωμένες προστασίες κατά πιθανών επιθέσεων clickjacking που στοχεύουν το browser extension (του password manager), όταν οι χρήστες επισκέπτονται παραβιασμένες ιστοσελίδες.
Δείτε επίσης: Cisco Nexus 3000 και 9000 Series: Ευπάθεια επιτρέπει επιθέσεις DoS
Αυτά τα μέτρα προστασίας πιθανόν να είναι απάντηση στα ευρήματα του ερευνητή ασφαλείας Marek Tóth, ο οποίος πρόσφατα περιέγραψε μια τεχνική που ονομάζεται Document Object Model (DOM)-based extension clickjacking. Πολλά δημοφιλή password manager browser add-ons είχαν βρεθεί ευάλωτα σε αυτή την τακτική.
"Ένα μόνο κλικ οπουδήποτε, σε μια ιστοσελίδα ελεγχόμενη από επιτιθέμενο, θα μπορούσε να επιτρέψει στους επιτιθέμενους να κλέψουν δεδομένα χρηστών (στοιχεία πιστωτικών καρτών, προσωπικά δεδομένα, διαπιστευτήρια σύνδεσης, συμπεριλαμβανομένων των TOTP)", δήλωσε ο Tóth. "Η νέα τεχνική είναι γενική και μπορεί να εφαρμοστεί σε άλλους τύπους επεκτάσεων".
Σύμφωνα με την Click Studios, ο password manager χρησιμοποιείται από 29.000 πελάτες και 370.000 επαγγελματίες ασφαλείας και IT, συμπεριλαμβανομένων παγκόσμιων επιχειρήσεων, κυβερνητικών οργανισμών, χρηματοπιστωτικών ιδρυμάτων και εταιρειών του Fortune 500.
Passwordstate: Νέο patch της Click Studios και το διαρκές στοίχημα με την ασφάλεια
Η πρόσφατη ενημέρωση της Click Studios για το Passwordstate δεν είναι απλώς μια τυπική διόρθωση σφαλμάτων. Αντιθέτως, έρχεται να υπενθυμίσει πως οι διαχειριστές κωδικών —παρά τον κρίσιμο ρόλο τους στην ψηφιακή καθημερινότητα— βρίσκονται συνεχώς στο στόχαστρο ερευνητών και επιτιθέμενων. Η παράκαμψη ελέγχου ταυτότητας μέσω κατασκευασμένων URL και οι απειλές clickjacking σε browser extensions αναδεικνύουν για ακόμη μια φορά ότι τα εργαλεία που υποτίθεται πως ενισχύουν την ασφάλειά μας μπορούν, υπό προϋποθέσεις, να γίνουν αδύναμοι κρίκοι.
Δείτε επίσης: Passkeys: Η SquareX αποκαλύπτει σημαντική ευπάθεια
Το στοιχείο που κάνει την υπόθεση ακόμη πιο ανησυχητική είναι η ευρύτερη διάσταση της τεχνικής που αποκάλυψε ο Marek Tóth. Η μέθοδος DOM-based extension clickjacking δεν αφορά αποκλειστικά το Passwordstate, αλλά δυνητικά κάθε password manager με browser add-on. Αυτό σημαίνει ότι το ζήτημα δεν είναι μεμονωμένο· είναι διαρθρωτικό και αφορά ολόκληρη την αγορά λύσεων διαχείρισης κωδικών. Με άλλα λόγια, οι χρήστες δεν έχουν να ανησυχούν μόνο για την ασφάλεια του λογισμικού τους, αλλά και για το πώς αυτό αλληλεπιδρά με τον browser και το οικοσύστημα του web.
Ωστόσο, η ευθύνη δεν βαραίνει αποκλειστικά τον πάροχο. Οι οργανισμοί που χρησιμοποιούν password managers πρέπει να υιοθετήσουν μια πιο πολυεπίπεδη στρατηγική ασφάλειας. Τακτικές ενημερώσεις, αξιολόγηση third-party επεκτάσεων, περιορισμός δικαιωμάτων πρόσβασης και ενσωμάτωση ελέγχων zero trust δεν αποτελούν «προαιρετικές επιλογές», αλλά αναγκαίες άμυνες σε ένα τοπίο όπου ακόμα και οι πιο έμπιστες πλατφόρμες μπορεί να παραβιαστούν.
Δείτε επίσης: 28,000+ Citrix instances ευάλωτα σε zero-day ευπάθεια
Το Passwordstate παραμένει ένα από τα πιο διαδεδομένα εργαλεία της αγοράς. Όμως, η νέα ευπάθεια και το patch που ακολούθησε θυμίζουν πως στην ασφάλεια δεν υπάρχουν τετελεσμένα: κάθε ενημέρωση είναι και μια υπενθύμιση ότι η μάχη με τους επιτιθέμενους είναι συνεχής και ασύμμετρη.
Passwordstate: Προηγούμενα περιστατικά ασφαλείας
Αυτή η αποκάλυψη έρχεται περίπου τέσσερα χρόνια μετά από μια παραβίαση της αλυσίδας εφοδιασμού, που επέτρεψε στους επιτιθέμενους να παραβιάσουν τον μηχανισμό ενημέρωσης του λογισμικού για να αναπτύξουν κακόβουλο λογισμικό ικανό να συλλέγει ευαίσθητες πληροφορίες από παραβιασμένα συστήματα.
Επιπλέον, τον Δεκέμβριο του 2022, η Click Studios διόρθωσε πολλαπλές ευπάθειες ασφαλείας στο Passwordstate, συμπεριλαμβανομένου ενός authentication bypass για το API του Passwordstate (CVE-2022-3875, βαθμολογία CVSS: 9.1) που θα μπορούσε να έχει χρησιμοποιηθεί από έναν απομακρυσμένο επιτιθέμενο για να αποκτήσει τους κωδικούς πρόσβασης ενός χρήστη σε απλό κείμενο.
© SecNews.gr - Η Click Studios διορθώνει ευπάθεια στο Passwordstate
You are receiving this email because you subscribed to this feed at https://blogtrottr.com?lctg=1169672
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz?lctg=1169672