信息來源：hackernews

LastPass修補了一個錯誤，該錯誤會使惡意網(wǎng)站提取該服務(wù)瀏覽器擴展程序輸入的先前密碼。 ZDNet報告稱該漏洞是由谷歌Project Zero團隊的研究員Tavis Ormandy發(fā)現(xiàn)，并在8月29日一份漏洞報告中披露。 LastPass在9月13日修復(fù)了該問題，并將更新部署到針對所有瀏覽器的LastPass擴展當(dāng)中。

該漏洞工作原理是誘使用戶進(jìn)入惡意網(wǎng)站，并欺騙瀏覽器擴展程序使用以前訪問過的網(wǎng)站密碼。 Ormandy指出，攻擊者可以使用谷歌翻譯等服務(wù)偽裝惡意網(wǎng)站地址，并誘使易受攻擊的用戶訪問流氓網(wǎng)站。

雖然LastPass說應(yīng)該補丁自動更新，但您一定要檢查您的LastPass擴展是否是最新版本，特別是如果您使用的瀏覽器允許您禁用擴展自動更新。這個更新之后，LastPass瀏覽器擴展的版本號是4.33.0。LastPass表示，它認(rèn)為只有Chrome和Opera瀏覽器受到了這個漏洞的影響，但是還是采用嚴(yán)格預(yù)防措施，它已經(jīng)為所有瀏覽器LastPass擴展部署了相同的補丁。

在其博客上發(fā)布的一份聲明中，LastPass淡化了該漏洞嚴(yán)重性。該公司安全工程經(jīng)理Ferenc Kun表示，該漏洞依賴于用戶訪問惡意網(wǎng)站，然后被“欺騙”多次點擊相關(guān)惡意頁面。但Ormandy仍然將該漏洞評為“高”嚴(yán)重等級。