“LastPass修复了左侧客户易于点击劫持密码被盗的错误”

如果使用lastpass管理密码，请确保最近的更新修复了安全问题，并且攻击者可以窃取登录凭据。 此问题已在lastpass 4.33.0中处理。 但是，如果未将lastpass设置为自动更新，则建议尽快手动修补。

谷歌的project zero团队的安全研究人员tavis ormandy发现了这个漏洞，并发布了关于如何再现这个问题的详细新闻。 攻击媒体利用javascript。 因为这个攻击者只要配置恶意网页就可以利用漏洞。

对攻击者来说，处理这个问题没有那么多。 首先，必须欺骗客户访问恶意网站，欺骗lastpass浏览器的扩展功能，从以前访问过的网站输入密码。 据ormandy称，在谷歌翻译链接的背后隐藏这种攻击特别容易。

即使它不适用于* all * url，我也认为称为高重要度是公平的。 ormandy这样写道。

该零项目于8月在标准的90天公开截止日期中警告了lasspass。 lastpass不需要整整90天。 lastpass将花大约两周的时间开始更新，目前可以采用。

lastpass很快就解决了这个问题，但没有像谷歌的project zero团队一样用同样的方法检查错误。

要利用此漏洞，lastpass客户必须执行一系列操作，例如使用lastpass图标填写密码，访问受感染的站点和恶意的站点，然后多次点击页面进行欺诈。 lastpass填写的最后一个网站凭据将被公布。 我们很快就开始修复和验证处理方案和tavis的整合。 lastpass先生说。

lastpass还表示该错误只影响了铬和opera浏览器，为了安全，在各浏览器的扩展功能(如火狐、safari、edge、internet explorer等)中引入了相同的补丁。

本文：《“LastPass修复了左侧客户易于点击劫持密码被盗的错误”》