LastPass争着修复另一个严重漏洞

该漏洞可能允许远程执行代码或盗窃密码

在LastPass中发现了两个窃取密码的缺陷。
Peter Sayer

流行的LastPass密码管理器的开发人员在两周内第二次尝试修复一个严重的漏洞,该漏洞可能使恶意网站窃取用户密码或用恶意软件感染计算机。

喜欢 上周修复的LastPass漏洞,新问题被Google零项目团队的研究人员Tavis Ormandy发现并报告给LastPass。研究者 揭示了该漏洞的存在 在Twitter上的一条消息中,但并未发布任何有关攻击者可以利用它的技术细节。

Ormandy认为,该漏洞影响所有主要浏览器的最新版本的LastPass浏览器扩展。他声称已经在Windows和Linux上成功测试了该漏洞利用程序,但相信它也可能在Mac上也可以使用。

如果还安装了扩展程序的二进制组件,则该漏洞使攻击者在访问恶意网站时可以在用户的​​计算机上执行恶意代码。如果该组件不存在,则该缺陷仍可用于从用户的安全密码库中提取密码。

更糟的是,似乎扩展程序在浏览器中的存在足以使该漏洞得以利用。 Ormandy在Twitter上表示,即使用户注销,攻击仍然有效。

据说这仅对远程执行代码攻击是正确的,因为如果没有登录会话,密码库将保持加密状态,并且网站无法访问。

“ LastPass开发人员”周一在一份电子邮件中说:“我们正在积极解决该漏洞。” 博客文章。 “这种攻击是独特且高度复杂的。我们不想透露任何有关该漏洞或我们的修复程序的信息,这些信息可能会向不太复杂但邪恶的各方透露任何信息。”

LastPass建议用户使用“启动”功能启动直接从密码库内部存储密码的网站。该公司还建议用户为提供此选项的任何在线服务打开两因素身份验证,并提防网络钓鱼攻击和潜在的恶意链接。

Ormandy认为,修复此漏洞将花费公司很长时间,因为它是“主要的体系结构问题”。 Google Project Zero强制执行的标准漏洞披露期限为90天。

有关:

版权© 2017 IDG通讯,Inc.