Wachtwoordmanager Passwordstate dicht authentication bypass-lek
Softwarebedrijf Click Studios heeft een kwetsbaarheid in de wachtwoordmanager Passwordstate gedicht waardoor een aanvaller de authenticatie kan omzeilen. Via het beveiligingslek kan een aanvaller toegang tot de "Administration section" verkrijgen, waar beheerders belangrijke instellingen, configuraties en gebruikersaccounts kunnen beheren. Een CVE-nummer is nog niet bekend. Gebruikers worden opgeroepen om naar Build 9972 te updaten.
Volgens Click Studios doet het probleem zich voor bij de Emergency Access pagina van de wachtwoordmanager. Via het ingebouwde Emergency Access account, dat over ‘Security Administrator’ rechten beschikt, kan er worden ingelogd op Passwordstate wanneer andere accounts niet te gebruiken zijn. Door een speciaal geprepareerde url op de Emergency Access pagina in te voeren kan er toegang worden verkregen tot de Administration section van de wachtwoordmanager, aldus een zeer korte beschrijving van Click Studios. Verdere details zijn niet bekendgemaakt.
zo verleer je het handmatig schrijven niet,
zou ik mij nu zorgen moeten maken over
mijn privacy en beveiliging.
Mr paperclip
zo verleer je het handmatig schrijven niet,
zou ik mij nu zorgen moeten maken over
mijn privacy en beveiliging.
Mr paperclip
Maar passwordstate is er voornamelijk voor zakelijk, on-prem, gebruik. Privacy komt daardoor minder in het geding.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Ervaren Chief Information Security Officer (CISO)
Provincie Noord-Holland
Ben jij een ervaren CISO? En wil jij jouw kennis in een andere organisatie delen? Help ons dan onze informatieveiligheid verder te vergroten. Als CISO speel je een sleutelrol in het veilig houden van gegevens en systemen die essentieel zijn voor een leefbare, veilige en duurzame provincie.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?