艾特商业网

互联网分析:LastPass修复了可能让恶意网站提取您上次使用的密码的错误

更新时间:2021-11-22 08:59:59

导读 互联网是高科技的产物,是历史发展、社会进步、人类智慧的结晶;是人类迄今所拥有的容量最大、内容最广、传递速度最快的信息中心。全球每天...

互联网是高科技的产物,是历史发展、社会进步、人类智慧的结晶;是人类迄今所拥有的容量最大、内容最广、传递速度最快的信息中心。全球每天有四亿人使用互联网,上网人数占世界人口的百分之6.互联网为我们了解时事、学习知识、与人沟通、休闲娱乐等提供了便捷的条件,接下来这篇文章给大家说说互联网科技的一角。

LastPass修补了一个错误,该错误会使恶意网站提取该服务的浏览器扩展程序输入的先前密码。ZDNet报告称该漏洞是由谷歌Project Zero团队的研究员Tavis Ormandy发现的,并在8月29日的一份错误报告中披露。LastPass在9月13日修复了该问题,并将更新部署到应该自动应用的所有浏览器,LastPass用户可以智能地验证。

该错误通过诱使用户进入恶意网站,并欺骗浏览器扩展程序使用以前访问过的网站的密码。Ormandy指出,攻击者可以使用谷歌翻译等服务伪装恶意URL,并诱使易受攻击的用户访问流氓站点。

由于未更新缓存,LastPass可能会泄漏上次使用的凭据。这是因为您可以通过以意外方式包含登录表单来绕过正在填充的选项卡凭据缓存。

虽然LastPass说应该自动应用更新,但您一定要检查您是否正在运行该服务的浏览器扩展的最新版本,特别是如果您使用的浏览器允许您禁用扩展的自动更新。这个bug修补了版本4.33.0的扩展名。LastPass表示,它认为只有Chrome和Opera浏览器受到了这个漏洞的影响,但是为了预防措施,它已经为所有浏览器部署了相同的补丁。

在其博客上发布的一份声明中,LastPass淡化了该漏洞的严重性。该公司的安全工程经理Ferenc Kun表示,该漏洞依赖于访问恶意网站的用户,然后被“欺骗”多次点击该页面。但Ormandy仍然给出了该漏洞的“高”严重等级。在公布之前,该错误被负责地公布给LastPass,并且没有证据表明网络上已经部署了漏洞。

尽管有这个错误,但为了您的在线安全性,使用密码管理器仍然是一个很好的措施。该错误的存在凸显了密码管理器,如任何在线服务,仍然可能容易受到安全问题的影响。因此,最好将双因素身份验证添加到支持它的任何站点,同时使用您从不在服务之间重复使用的强大的唯一密码。

版权声明:转载此文是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢您的支持与理解。