导读 如果你使用LastPass的要管理您的密码,请注意最近的更新修复了一个安全问题,可能允许攻击者窃取您的登录凭据。该问题已在LastPass 4 33 0
如果你使用LastPass的要管理您的密码,请注意最近的更新修复了一个安全问题,可能允许攻击者窃取您的登录凭据。该问题已在LastPass 4.33.0中得到解决。但是,如果您没有将LastPass配置为自动更新,建议您尽快手动修补它。
Google的Project Zero团队的安全研究员Tavis Ormandy发现了这个漏洞,并发布了有关如何重现该问题的详细信息。攻击媒介利用JavaScript,因此攻击者只需配置恶意网页即可利用漏洞。
对于攻击者来说,解决这个问题并不是那么复杂。它主要涉及欺骗用户访问恶意站点,然后欺骗LastPass浏览器扩展插入从以前访问过的站点输入密码。根据Ormandy的说法,在谷歌翻译链接背后隐藏这种攻击特别容易。
“我认为称之为'高''的严重程度是公平的,即使它不适用于* all * URL,”Ormandy写道。
该零项目该团队在8月份通过标准的90天披露截止日期提醒了LassPass。LastPass不需要整整90天。LastPass花了大约两周时间推出更新,现在可以使用。
虽然LastPass很快就解决了这个问题,但它没有像谷歌的Project Zero团队那样以同样的方式查看错误。
“要利用此漏洞,LastPass用户需要采取一系列操作,包括使用LastPass图标填写密码,然后访问受感染或恶意网站,最后被欺骗多次点击该页面。导致LastPass填写的最后一个站点凭据被公开。我们很快就开始修复并验证了解决方案与Tavis的综合,“LastPass说。
LastPass也表示这个bug只影响了铬和Opera浏览器一样,为了安全起见,已经为每个浏览器扩展部署了相同的补丁,包括火狐,Safari,Edge和Internet Explorer。