LastPass释放修复浏览器扩张安全漏洞
发布时间:2022-01-19 09:17:42 所属栏目:要闻 来源:互联网
导读:在安全研究人员报告了受影响个人和商业用户的两个漏洞之后,LastPass已经为其密码管理器冲出了修复。 由Google Security研究员Tavis Ormandy发现的第一个漏洞可能使攻击者窃取用户的密码或在计算机上执行恶意代码。 安全漏洞影响了Google Chrome,Mozilla Fi
|
在安全研究人员报告了受影响个人和商业用户的两个漏洞之后,LastPass已经为其密码管理器冲出了修复。 由Google Security研究员Tavis Ormandy发现的第一个漏洞可能使攻击者窃取用户的密码或在计算机上执行恶意代码。 安全漏洞影响了Google Chrome,Mozilla Firefox和Microsoft Edge的LastPass浏览器扩展。根据Google Project Zero Gug报告,该漏洞可能使攻击者访问LastPass扩展内部的内部命令。 弱势命令是使用存储在用户安全保险库中的信息复制密码或填写Web表单的浏览器扩展名。 Ormandy表示,如果安装了扩展的二进制组件,攻击者可能已经使用“OpenAttach”命令在计算机上运行任意代码,但是,根据LastPass,这会影响少于10%的用户。 Firefox扩展中的第二个漏洞与第一个有关,并已在最新版本中修复:4.1.36A。根据LastPass,其日期调查尚未表明任何敏感的用户数据都丢失或损害。 该公司在博客帖子中表示,所有扩展都被修补并重新发布给用户,并添加了Android和iOS的LastPass移动应用程序不受影响。 该公司还表示不需要更改主密码更改,并且不需要更改网站凭据密码,但敦促用户确保他们拥有最新版本的浏览器扩展。LastPass表示,大多数用户将自动更新,但可以在此处下载最新版本。 用户可以通过单击浏览器中的LastPass徽标来检查其扩展版本,单击“更多选项”,然后“关于LastPass”。 最新版本是Firefox:4.1.36,Chrome:4.1.43.82,边缘:4.1.30和歌剧:4.1.28.要利用报告的漏洞,LastPass表示攻击者将首先引诱用户到恶意网站。 一旦在恶意网站上,Ormandy演示了攻击者如何调用LastPass Applciation编程接口(API),或者在某些情况下,运行任意代码,同时显示为可信任。 这样做会允许攻击者从LastPass帐户中可能检索和公开信息,例如用户的登录凭据。提供有关Firefox 3.3.2消息劫持错误的更多详细信息,LastPass表示Firefox 3.3.2中的URL解析过程中的缺陷已启用恶意网站,以欺骗合法的网站并欺骗LastPass附加进入提供用户网站凭据。 (编辑:荆门站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
