税镇资讯>科技>LastPass修复了可能让恶意网站提取用户密码的漏洞

LastPass修复了可能让恶意网站提取用户密码的漏洞

2019-10-23 17:06:49来源:匿名
lastpass修补了一个错误,该错误会使恶意网站提取该服务浏览器扩展程序输入的先前密码。lastpass在9月13日修复了该问题,并将更新部署到针对所有浏览器的lastpass扩展当中。该漏洞工作原

Lastpass修复了一个错误,该错误会导致恶意网站提取由服务浏览器扩展输入的以前的密码。Zdnet报道称,该漏洞是由谷歌零项目团队的研究员塔维斯·奥曼迪(tavis ormandy)发现的,并在8月29日的漏洞报告中披露。Lastpass在9月13日修复了这个问题,并为所有浏览器部署了lastpass扩展的更新。

该漏洞会诱使用户进入恶意网站,并欺骗浏览器扩展使用他们以前访问过的网站的密码。奥曼迪指出,攻击者可以使用谷歌翻译和其他服务来伪装恶意网站的地址,并诱使易受攻击的用户访问流氓网站。

虽然lastpass说修补程序应该自动更新,但是您必须检查您的lastpass扩展是否是最新版本,特别是如果您使用的浏览器允许您禁用扩展的自动更新。更新后,lastpass浏览器扩展的版本号为4.33.0。Lastpass表示,它认为只有chrome和opera浏览器受到该漏洞的影响,但它仍然采取了严格的防范措施,并为所有浏览器lastpass扩展部署了相同的补丁。

lastpass在其博客上发表声明,淡化了该漏洞的严重性。该公司的安全工程经理Ferenc kun表示,该漏洞依赖于用户访问恶意网站,然后被“欺骗”多次点击相关的恶意页面。然而,ormandy仍然将该漏洞的严重性评为“高”。