您现在的位置是:首页 > AR/VR >

LastPass修复了允许恶意网站窃取登录凭证的bug

2020-01-21 19:53:04

密码管理公司LastPass Inc.表示,该公司已经修补了谷歌有限责任公司(GoogleLLC)一位安全研究人员的漏洞,该研究人员允许一个恶意网站窃取用户使用该公司Chrome或Opera扩展访问的最后一个帐户的登录凭据。

上个月被GoogleProjectZero的TavisOrmandy发现,漏洞允许恶意网站欺骗浏览器扩展使用以前访问过的网站使用的密码。

为了利用这一漏洞,恶意网站最终可能会产生一个HTMLiframe,或嵌入到另一个网页中的网页,链接到缓存的LastPass登录,允许网站及其背后的人窃取用户凭据。

达到这一点并不一定容易,但它是可行的。LastPass在一篇博客文章《Friday》中解释道:“要利用这个bug,需要一系列的操作,包括用LastPass图标填充密码,然后访问一个被破坏或恶意的站点,最后被骗点击每一次页面。“这一漏洞可能导致Last Pass填写的最后一个站点凭据被曝光。

奥曼迪在公布漏洞之前通知了LastPass,允许流行的密码管理器公司修复漏洞,并在发布前向用户推出更新。“我们很快就开发了一个修复方案,并验证了解决方案与Tavis是全面的,”LastPass写道。

尽管一些网站上有一些虚假的报告说用户应该更新LastPass,但不需要用户干预,因为Chrome和Opera扩展的修补版本被自动推送给用户。

这不是第一次在LastPass中发现漏洞。奥曼迪2017年3月在LastPass浏览器扩展中发现的一个漏洞不仅允许黑客窃取密码,还可以执行恶意代码。然后,就像现在一样,Ormandy提前通知LastPass他的发现,允许在细节公开之前修补漏洞。

在2015年,LastPass本身也被黑客攻击,攻击的幕后黑手包括窃取用户帐户电子邮件地址、密码提醒、每个用户的服务器盐和身份验证散列。

虽然2015年的黑客行为是不幸的,就像发现任何安全漏洞一样,LastPass在保护数据方面也有很好的记录。拥有1670万用户,该公司自称是密码管理领域的市场领导者。

通过我们的1键订阅我们的YouTube频道(下面)来显示您对我们任务的支持-我们有更多的订阅者,那么YouTube的算法就会向对#EnterpriseTech感兴趣的用户推广我们的内容。谢谢。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。

相关文章

热点推荐

点击排行