信息來源:企業(yè)網(wǎng)
安全是密碼管理軟件的基石�����,在此基礎上搭建的用戶體驗�����、功能等才能安穩(wěn)����。作為擁有800萬用戶的熱門密碼管理軟件����,LastPass近日連續(xù)被曝光了兩個零日漏洞,不過所幸的是目前并沒有任何證據(jù)表明該漏洞被黑客利用�����,而且公司已經(jīng)著手修復曝光的第二個問題。
本月20日����,Google Project Zero項目的白帽黑客Tavis Ormandy發(fā)現(xiàn)LastPass Chrome擴展中存在一個可利用的內容腳本,將導致惡意網(wǎng)頁能夠從該管理器內提取到密碼內容�。
然而,由于受到所發(fā)現(xiàn)安全漏洞的影響�����,如今用戶在瀏覽惡意網(wǎng)站時���,其LastPass中的所保存的全部密碼內容亦將被對方所發(fā)現(xiàn)�����。由Ormandy發(fā)現(xiàn)的這一薄弱LastPass腳本可能被利用以訪問該管理器的內部數(shù)據(jù)�����。
另外����,該腳本亦可被濫用以在受害者的計算機上執(zhí)行各類命令——Ormandy演示了如何通過打開網(wǎng)頁的方式運行計算器(calc.exe)����。在這種情況下�,惡意網(wǎng)站能夠借此將惡意軟件投放至訪客設備之上����。受害者必須安裝有LastPass的二進制組件,方會受到這類攻擊的影響�����。
美國東部時間3月22日下午2點49分鐘�,面向Firefox和Chrome瀏覽器的擴展程序發(fā)布了包含補丁程序的新版本,而Opera和Edge瀏覽器的擴展程序目前還在審核狀態(tài)�。隨后,LastPass團隊在私人博客上發(fā)布了關于本次BUG的完整報告��。
3月25日�����,Tavis在推文中披露了另一個漏洞�,影響4.1.43版本�����,是Google Chrome的最新版本。為此這款知名密碼管理軟件的團隊在3月20日發(fā)布的博文中再添加了一項聲明:
2017年3月25日(下午5點)更新:我們的團隊目前正在調查Tavis Ormandy報告的新問題��,當我們掌握充足信息的時候我們將會在社區(qū)內進行公布���。謝謝大家的支持�。
