Google零点项目(Project Zero)研究员Tavis Ormandy在LastPass插件中发现了另一个严重漏洞。该密码管理应用的开发人员已获知该漏洞并正在开发补丁。
因为漏洞还未修复,Ormandy和LastPass只公布了很少的细节。Ormandy研究员说,这个安全漏洞影响到这一密码管理应用的最新版本,并且他开发的漏洞利用程序适用于所有的web浏览器。
LastPass是什么
Lastpass是一个优秀的在线密码管理器和页面过滤器,采用了强大的加密算法,自动登录/云同步/跨平台/支持多款浏览器。如果你需要使用的密码太多,它就是一个很好的密码管理器。
LastPass 0Day漏洞
与之前发现的漏洞相似,这个漏洞可被利用来窃取用户密码,并且,如果LastPass二进制组件被启用时,还能被用来执行任意代码。LastPass在一篇博客中说:
"这种攻击很独特,并且非常老练。我们不想透露与漏洞或者补丁相关的、对不够老练但怀有恶意的的组织有所启发的任何具体信息。在漏洞修复后,大家可以期待详细的事后调查。"
这些漏洞通常可被用来使目标用户访问特制的网页。LastPass已建议客户使用LastPass Vault来访问网站,确保所访问的网站是合法的,以避免潜在的攻击。LastPass还建议用户尽可能启用双因素身份验证并当心钓鱼攻击。
Google研究员已经发现了数个LastPass漏洞
近来几周,Ormandy发现了若干个可被用来窃取用户密码或者执行任意代码的LastPass漏洞。LastPass在获知漏洞存在后,在数日内发布补丁。补丁自动推送安装,用户不用采取任何动作。
目前没有证据显示该漏洞已被用来发动攻击。LastPass告诉用户,没有必要更改任何密码。
Google研究员Ormandy发现的一个漏洞影响Firefox插件的3.3.2版本。LastPass已经修复了这个漏洞,但也指出将会在近期将这个版本退市。
原文发布时间:2017年3月29日
本文由:securityWeek 发布,版权归属于原作者
原文链接:http://toutiao.secjia.com/lastpass-0day-vulnerability
本文来自云栖社区合作伙伴安全加,了解相关信息可以关注安全加网站
