“LastPass修复了左侧客户易于点击劫持密码被盗的错误”
如果使用lastpass管理密码,请确保最近的更新修复了安全问题,并且攻击者可以窃取登录凭据。 此问题已在lastpass 4.33.0中处理。 但是,如果未将lastpass设置为自动更新,则建议尽快手动修补。
谷歌的project zero团队的安全研究人员tavis ormandy发现了这个漏洞,并发布了关于如何再现这个问题的详细新闻。 攻击媒体利用javascript。 因为这个攻击者只要配置恶意网页就可以利用漏洞。
对攻击者来说,处理这个问题没有那么多。 首先,必须欺骗客户访问恶意网站,欺骗lastpass浏览器的扩展功能,从以前访问过的网站输入密码。 据ormandy称,在谷歌翻译链接的背后隐藏这种攻击特别容易。
即使它不适用于* all * url,我也认为称为高重要度是公平的。 ormandy这样写道。
该零项目于8月在标准的90天公开截止日期中警告了lasspass。 lastpass不需要整整90天。 lastpass将花大约两周的时间开始更新,目前可以采用。
lastpass很快就解决了这个问题,但没有像谷歌的project zero团队一样用同样的方法检查错误。
要利用此漏洞,lastpass客户必须执行一系列操作,例如使用lastpass图标填写密码,访问受感染的站点和恶意的站点,然后多次点击页面进行欺诈。 lastpass填写的最后一个网站凭据将被公布。 我们很快就开始修复和验证处理方案和tavis的整合。 lastpass先生说。
lastpass还表示该错误只影响了铬和opera浏览器,为了安全,在各浏览器的扩展功能(如火狐、safari、edge、internet explorer等)中引入了相同的补丁。
心灵鸡汤:
免责声明:学习富国网免费收录各个行业的优秀中文网站,提供网站分类目录检索与关键字搜索等服务,本篇文章是在网络上转载的,本站不为其真实性负责,只为传播网络信息为目的,非商业用途,如有异议请及时联系btr2031@163.com,本站的工作人员将予以删除。