安全動態(tài)

LastPass 修復了可能讓惡意網站提取用戶密碼的漏洞

來源:聚銘網絡    發(fā)布時間:2019-09-17    瀏覽次數:
 

信息來源:hackernews


LastPass修補了一個錯誤,該錯誤會使惡意網站提取該服務瀏覽器擴展程序輸入的先前密碼。 ZDNet報告稱該漏洞是由谷歌Project Zero團隊的研究員Tavis Ormandy發(fā)現,并在8月29日一份漏洞報告中披露。 LastPass在9月13日修復了該問題,并將更新部署到針對所有瀏覽器的LastPass擴展當中。

該漏洞工作原理是誘使用戶進入惡意網站,并欺騙瀏覽器擴展程序使用以前訪問過的網站密碼。 Ormandy指出,攻擊者可以使用谷歌翻譯等服務偽裝惡意網站地址,并誘使易受攻擊的用戶訪問流氓網站。

雖然LastPass說應該補丁自動更新,但您一定要檢查您的LastPass擴展是否是最新版本,特別是如果您使用的瀏覽器允許您禁用擴展自動更新。這個更新之后,LastPass瀏覽器擴展的版本號是4.33.0。LastPass表示,它認為只有Chrome和Opera瀏覽器受到了這個漏洞的影響,但是還是采用嚴格預防措施,它已經為所有瀏覽器LastPass擴展部署了相同的補丁。

在其博客上發(fā)布的一份聲明中,LastPass淡化了該漏洞嚴重性。該公司安全工程經理Ferenc Kun表示,該漏洞依賴于用戶訪問惡意網站,然后被“欺騙”多次點擊相關惡意頁面。但Ormandy仍然將該漏洞評為“高”嚴重等級。


 
 

上一篇:csv_vul_plugins_201909

下一篇:風險分析是工業(yè)互聯(lián)網安全的基礎