信息來源:企業(yè)網(wǎng)
安全是密碼管理軟件的基石,在此基礎(chǔ)上搭建的用戶體驗(yàn)�����、功能等才能安穩(wěn)�����。作為擁有800萬用戶的熱門密碼管理軟件����,LastPass近日連續(xù)被曝光了兩個(gè)零日漏洞�,不過所幸的是目前并沒有任何證據(jù)表明該漏洞被黑客利用,而且公司已經(jīng)著手修復(fù)曝光的第二個(gè)問題�。
本月20日�,Google Project Zero項(xiàng)目的白帽黑客Tavis Ormandy發(fā)現(xiàn)LastPass Chrome擴(kuò)展中存在一個(gè)可利用的內(nèi)容腳本�����,將導(dǎo)致惡意網(wǎng)頁能夠從該管理器內(nèi)提取到密碼內(nèi)容�����。
然而����,由于受到所發(fā)現(xiàn)安全漏洞的影響����,如今用戶在瀏覽惡意網(wǎng)站時(shí),其LastPass中的所保存的全部密碼內(nèi)容亦將被對(duì)方所發(fā)現(xiàn)�。由Ormandy發(fā)現(xiàn)的這一薄弱LastPass腳本可能被利用以訪問該管理器的內(nèi)部數(shù)據(jù)。
另外�,該腳本亦可被濫用以在受害者的計(jì)算機(jī)上執(zhí)行各類命令——Ormandy演示了如何通過打開網(wǎng)頁的方式運(yùn)行計(jì)算器(calc.exe)����。在這種情況下�,惡意網(wǎng)站能夠借此將惡意軟件投放至訪客設(shè)備之上�����。受害者必須安裝有LastPass的二進(jìn)制組件�,方會(huì)受到這類攻擊的影響�。
美國東部時(shí)間3月22日下午2點(diǎn)49分鐘,面向Firefox和Chrome瀏覽器的擴(kuò)展程序發(fā)布了包含補(bǔ)丁程序的新版本�,而Opera和Edge瀏覽器的擴(kuò)展程序目前還在審核狀態(tài)。隨后�����,LastPass團(tuán)隊(duì)在私人博客上發(fā)布了關(guān)于本次BUG的完整報(bào)告�����。
3月25日�,Tavis在推文中披露了另一個(gè)漏洞�,影響4.1.43版本,是Google Chrome的最新版本����。為此這款知名密碼管理軟件的團(tuán)隊(duì)在3月20日發(fā)布的博文中再添加了一項(xiàng)聲明:
2017年3月25日(下午5點(diǎn))更新:我們的團(tuán)隊(duì)目前正在調(diào)查Tavis Ormandy報(bào)告的新問題�,當(dāng)我們掌握充足信息的時(shí)候我們將會(huì)在社區(qū)內(nèi)進(jìn)行公布�����。謝謝大家的支持。
