近日 LastPass 密码管理的开发人员紧急推出修复程序,以解决黑客窃取用户密码或在其计算机上执行恶意代码的严重漏洞。
该漏洞由 Google 安全研究员 Tavis Ormandy 发现,并于星期一向 LastPass 报告。 它影响了服务用户为 Google Chrome,Mozilla Firefox 和 Microsoft Edge 安装的浏览器扩展。
根据 Google Project Zero 错误跟踪器中的描述,该漏洞可能会给攻击者访问 LastPass 扩展中的内部命令。扩展程序使用的这些命令来复制密码,或使用存储在用户的安全保管库中的信息填写 Web 表单。如果安装了扩展的二进制组件,则可以使用“openattach”命令在计算机上运行任意代码。
LastPass 开发人员在其服务器上部署了解决方法,并计划在新版本中包含完整修复。
Ormandy 周二在 Firefox 扩展中报道了另一个漏洞,它与第一个漏洞相关,很快,在星期三发布的新版本的 Firefox 扩展 4.1.36a 中就被修复。
本文来自开源中国社区 [http://www.oschina.net]
