LastPass漏洞事件回顾(公司正着手紧急修复)
安全是密码管理软件的基石,在此基础上搭建的用户体验、功能等才能安稳。作为拥有800万用户的热门密码管理软件,LastPass近日连续被曝光了两个零日漏洞,不过所幸的是目前并没有任何证据表明该漏洞被黑客利用,而且公司已经着手修复曝光的第二个问题。
QQ截图20170330090954.png
【LastPass漏洞事件回顾(公司正着手紧急修复)】本月20日,Google Project Zero项目的白帽黑客Tavis Ormandy发现LastPass Chrome扩展中存在一个可利用的内容脚本,将导致恶意网页能够从该管理器内提取到密码内容。
然而,由于受到所发现安全漏洞的影响,如今用户在浏览恶意网站时,其LastPass中的所保存的全部密码内容亦将被对方所发现。由Ormandy发现的这一薄弱LastPass脚本可能被利用以访问该管理器的内部数据。
另外,该脚本亦可被滥用以在受害者的计算机上执行各类命令——Ormandy演示了如何通过打开网页的方式运行计算器(calc.exe)。在这种情况下,恶意网站能够借此将恶意软件投放至访客设备之上。受害者必须安装有LastPass的二进制组件,方会受到这类攻击的影响。
美国东部时间3月22日下午2点49分钟,面向Firefox和Chrome浏览器的扩展程序发布了包含补丁程序的新版本,而Opera和Edge浏览器的扩展程序目前还在审核状态。随后,LastPass团队在私人博客上发布了关于本次BUG的完整报告。
3月25日,Tavis在推文中披露了另一个漏洞,影响4.1.43版本,是Google Chrome的最新版本。为此这款知名密码管理软件的团队在3月20日发布的博文中再添加了一项声明:
2017年3月25日(下午5点)更新:我们的团队目前正在调查Tavis Ormandy报告的新问题,当我们掌握充足信息的时候我们将会在社区内进行公布。谢谢大家的支持。
本文转自d1net(转载)
推荐阅读
- 数据安全|谷歌紧急更新,Chrome 今年第二个零日漏洞曝光
- 区块链|Linux 29岁,你不知道的29个重大事件
- JavaScript|JavaScript 事件循环(1) —— 从 setTimeout 说起
- Spring事件监听机制源码解析
- Spark(3.1.2|Spark(3.1.2, 3.2.1, 3.3.0版本)shell命令注入漏洞
- 人工智能|“2021年度全球十大人工智能治理事件”(数据、算法、伦理受关注,AI发展需治理同行)
- Netty分布式客户端处理接入事件handle源码解析
- 注意,开源Redis被爆高危漏洞,攻击者可远程注入代码
- CEO|CEO “排队”卸任、企业“扎堆”造车,2021 科技圈十大事件你知道几个()
- 微软|2020年,技术圈十大“翻车”事件!