信息來源：hackernews

LastPass修補(bǔ)了一個(gè)錯(cuò)誤，該錯(cuò)誤會(huì)使惡意網(wǎng)站提取該服務(wù)瀏覽器擴(kuò)展程序輸入的先前密碼。 ZDNet報(bào)告稱該漏洞是由谷歌Project Zero團(tuán)隊(duì)的研究員Tavis Ormandy發(fā)現(xiàn)，并在8月29日一份漏洞報(bào)告中披露。 LastPass在9月13日修復(fù)了該問題，并將更新部署到針對(duì)所有瀏覽器的LastPass擴(kuò)展當(dāng)中。

該漏洞工作原理是誘使用戶進(jìn)入惡意網(wǎng)站，并欺騙瀏覽器擴(kuò)展程序使用以前訪問過的網(wǎng)站密碼。 Ormandy指出，攻擊者可以使用谷歌翻譯等服務(wù)偽裝惡意網(wǎng)站地址，并誘使易受攻擊的用戶訪問流氓網(wǎng)站。

雖然LastPass說應(yīng)該補(bǔ)丁自動(dòng)更新，但您一定要檢查您的LastPass擴(kuò)展是否是最新版本，特別是如果您使用的瀏覽器允許您禁用擴(kuò)展自動(dòng)更新。這個(gè)更新之后，LastPass瀏覽器擴(kuò)展的版本號(hào)是4.33.0。LastPass表示，它認(rèn)為只有Chrome和Opera瀏覽器受到了這個(gè)漏洞的影響，但是還是采用嚴(yán)格預(yù)防措施，它已經(jīng)為所有瀏覽器LastPass擴(kuò)展部署了相同的補(bǔ)丁。

在其博客上發(fā)布的一份聲明中，LastPass淡化了該漏洞嚴(yán)重性。該公司安全工程經(jīng)理Ferenc Kun表示，該漏洞依賴于用戶訪問惡意網(wǎng)站，然后被“欺騙”多次點(diǎn)擊相關(guān)惡意頁面。但Ormandy仍然將該漏洞評(píng)為“高”嚴(yán)重等級(jí)。