更新时间:2021-11-22 08:59:59
LastPass修补了一个错误,该错误会使恶意网站提取该服务的浏览器扩展程序输入的先前密码。ZDNet报告称该漏洞是由谷歌Project Zero团队的研究员Tavis Ormandy发现的,并在8月29日的一份错误报告中披露。LastPass在9月13日修复了该问题,并将更新部署到应该自动应用的所有浏览器,LastPass用户可以智能地验证。
该错误通过诱使用户进入恶意网站,并欺骗浏览器扩展程序使用以前访问过的网站的密码。Ormandy指出,攻击者可以使用谷歌翻译等服务伪装恶意URL,并诱使易受攻击的用户访问流氓站点。
由于未更新缓存,LastPass可能会泄漏上次使用的凭据。这是因为您可以通过以意外方式包含登录表单来绕过正在填充的选项卡凭据缓存。
虽然LastPass说应该自动应用更新,但您一定要检查您是否正在运行该服务的浏览器扩展的最新版本,特别是如果您使用的浏览器允许您禁用扩展的自动更新。这个bug修补了版本4.33.0的扩展名。LastPass表示,它认为只有Chrome和Opera浏览器受到了这个漏洞的影响,但是为了预防措施,它已经为所有浏览器部署了相同的补丁。
在其博客上发布的一份声明中,LastPass淡化了该漏洞的严重性。该公司的安全工程经理Ferenc Kun表示,该漏洞依赖于访问恶意网站的用户,然后被“欺骗”多次点击该页面。但Ormandy仍然给出了该漏洞的“高”严重等级。在公布之前,该错误被负责地公布给LastPass,并且没有证据表明网络上已经部署了漏洞。
尽管有这个错误,但为了您的在线安全性,使用密码管理器仍然是一个很好的措施。该错误的存在凸显了密码管理器,如任何在线服务,仍然可能容易受到安全问题的影响。因此,最好将双因素身份验证添加到支持它的任何站点,同时使用您从不在服务之间重复使用的强大的唯一密码。