lastpass修复了可能让恶意网站提取用户密码的漏洞-k8凯发天生赢家

lastpass修复了可能让恶意网站提取用户密码的漏洞
作者:cnbeta.com 发布时间:2019-09-17

lastpass修补了一个错误,该错误会使恶意网站提取该服务浏览器扩展程序输入的先前密码。 zdnet报告称该漏洞是由谷歌project zero团队的研究员tavis ormandy发现,并在8月29日一份漏洞报告中披露。 lastpass在9月13日修复了该问题,并将更新部署到针对所有浏览器的lastpass扩展当中。

该漏洞工作原理是诱使用户进入恶意网站,并欺骗浏览器扩展程序使用以前访问过的网站密码。 ormandy指出,攻击者可以使用谷歌翻译等服务伪装恶意网站地址,并诱使易受攻击的用户访问流氓网站。

虽然lastpass说应该补丁自动更新,但您一定要检查您的lastpass扩展是否是最新版本,特别是如果您使用的浏览器允许您禁用扩展自动更新。这个更新之后,lastpass浏览器扩展的版本号是4.33.0。lastpass表示,它认为只有chrome和opera浏览器受到了这个漏洞的影响,但是还是采用严格预防措施,它已经为所有浏览器lastpass扩展部署了相同的补丁。

在其博客上发布的一份声明中,lastpass淡化了该漏洞严重性。该公司安全工程经理ferenc kun表示,该漏洞依赖于用户访问恶意网站,然后被“欺骗”多次点击相关恶意页面。但ormandy仍然将该漏洞评为“高”严重等级。


网站地图