LastPass释放修复浏览器扩展安全漏洞
NVIDIA的Quadro P6000 GPU爆炸了12次表现的TEROPS
网络安全恐惧是Fintech Innovation的障碍
微软赢得美国政府对海外举行的电子邮件的申诉
随着Windows 10免费交易接近结束,增长略有放缓
Aggeko为蔚蓝机器学习提供预测维护
集装箱技术力量重新思考应用程序开发
GitHub原子1.9拾取了一些速度,掉落API
第一个Mariadb用户会议Hails关系模型的文艺复兴
近五分之一的新加坡商业领袖绕过它
请愿促使Apple不要释放用于干扰手机摄像机的技术
研究:当地议会敦促急于采用云
无人机有潜在的工业破坏
聊天,fitbits和ai:IT供应商确定人力资源技术的最高趋势
通奸网站Ashley Madison被FTC调查
审计苏格兰分享了IT项目失败的经验教训
美国致命崩溃后的自动驾驶仪系统故障探测特斯拉
谷歌的母公司将在美国开始测试送货无人机
Snapchat回忆 - 你应该知道的
蜕皮和少女黑头以48km光纤宽带网络亮起
NetSuite加速APAC扩展计划
亚马逊的鼎盛时期到另一个岩石开始
这款移动芯片比三星的Galaxy S7中的移动芯片更快
谷歌云获得视频软件公司Anvato
研究人员说,测试是IOT安全的关键
Facebook揭示了成千上万每周代码更新的精心打击电话测试流程
英国核动站对网络攻击的恐怖警报
雅虎用户无需惊慌失措
OLPC Redux:分拆为XO硬件提供后继者
新的Android特洛伊木马斯金特在地下论坛上泄漏
Microsoft Stuges Windows 10升级到全屏入侵升级
英特尔正在开发AR智能眼镜以进行互动协作
Addison Lee采用普通客户运输技术提供豪华快餐
瞻博网络在Junos OS中修补高风险的缺陷
微软向美国或加拿大的任何人开辟了Hololens销售
大多数人认为云服务与IT部门一样好或更好
通过明尼苏达射击,直播电流占据中心舞台
老敌人,新朋友:北欧银行和初创公司增加合作
独立同意Tesla的260美元买断
ubs将遗留依赖性与Microsoft Azure减少
展示令人印象深刻的增长,万神殿略微啜饮沉重的系列C.
只有9%的父母希望孩子成为技术企业家
欧洲委员会第三款针对谷歌的套装
'人类感知'ai如何拯救我们从robopocalypse
Eternalrocks Worm结合了七个泄露的NSA攻击工具
莎拉威尔金森向上抬起nhs数字
曼彻斯特电车被通信失败停止了
3D xpoint等人强制架构和软件更改
Postnord削减了最多4,000名丹麦工作,以响应数字化
GE和Microsoft团队在IOT平台上
您的位置:首页 >论坛 > 电子商务 >

LastPass释放修复浏览器扩展安全漏洞

2021-07-10 19:44:20 [来源]:

在安全研究人员报告了受影响个人和商业用户的两个漏洞之后,LastPass已经为其密码管理器冲出了修复。

由Google Security研究员Tavis Ormandy发现的第一个漏洞可能使攻击者窃取用户的密码或在计算机上执行恶意代码。

安全漏洞影响了Google Chrome,Mozilla Firefox和Microsoft Edge的LastPass浏览器扩展。

根据Google Project Zero Gug报告,该漏洞可能使攻击者访问LastPass扩展内部的内部命令。

弱势命令是使用存储在用户安全保险库中的信息复制密码或填写Web表单的浏览器扩展名。

Ormandy表示,如果安装了扩展的二进制组件,攻击者可能已经使用“OpenAttach”命令在计算机上运行任意代码,但是,根据LastPass,这会影响少于10%的用户。

Firefox扩展中的第二个漏洞与第一个有关,并已在最新版本中修复:4.1.36A。

根据LastPass,其日期调查尚未表明任何敏感的用户数据都丢失或损害。

该公司在博客帖子中表示,所有扩展都被修补并重新发布给用户,并添加了Android和iOS的LastPass移动应用程序不受影响。

该公司还表示不需要更改主密码更改,并且不需要更改网站凭据密码,但敦促用户确保他们拥有最新版本的浏览器扩展。

LastPass表示,大多数用户将自动更新,但可以在此处下载最新版本。

用户可以通过单击浏览器中的LastPass徽标来检查其扩展版本,单击“更多选项”,然后“关于LastPass”。

最新版本是Firefox:4.1.36,Chrome:4.1.43.82,边缘:4.1.30和歌剧:4.1.28.

要利用报告的漏洞,LastPass表示攻击者将首先引诱用户到恶意网站。

一旦在恶意网站上,Ormandy演示了攻击者如何调用LastPass Applciation编程接口(API),或者在某些情况下,运行任意代码,同时显示为可信任。

这样做会允许攻击者从LastPass帐户中可能检索和公开信息,例如用户的登录凭据。

提供有关Firefox 3.3.2消息劫持错误的更多详细信息,LastPass表示Firefox 3.3.2中的URL解析过程中的缺陷已启用恶意网站,以欺骗合法的网站并欺骗LastPass附加进入提供用户网站凭据。

“去年我们的团队向我们的团队报告了这个错误,并在那个时候固定了。但是,该修复程序不会被推到我们的遗留Firefox 3.3.x分支;该公司于4月份安排了正式退休,“该公司表示。

“我们强烈建议将Firefox 4.1.36从LastPass.com/Download更新。用户还可以更新到Firefox 3.3.4,但是,正如我们之前所指出的那样,3.x版本的Lastpass将在未来几周退休。“

LastPass推荐用户:

不要点击陌生人的链接或似乎脱离字符。每个在线帐户都使用不同的唯一密码。为其LastPass帐户使用强大的安全主密码。打开级联和其他服务的双因素身份验证。运行防病毒并将所有软件保持最新。

为了防止未来这些问题,LastPass表示,它正在加强其代码审查和安全过程,特别是在新的和实验特征。

“我们非常重视Ormandy,Project Zero和其他White-Hat研究人员提供的工作。当这种安全模型用于负责任地披露错误时,我们都受益,并且自信的LastPass是强烈的关注。我们欢迎所有研究人员通过在HTTPS://bugcrowd.com/lastpass中获取所有研究人员的贡献。“

TOD Heardsley,Rapid7的研究总监表示,LastPass的问题表明安全软件就像任何其他合理的复杂软件一样。“都有错误,有时这些错误有安全影响,”他说。

根据Beardsley的说法,密码管理人员仍然无限更优于人类生成的人类难忘的密码。

“与密码重用相关的风险远远大于与特定密码管理器中的零天漏洞相关的风险,”他说。

“没有迹象表明谷歌报告的问题正在剥削今天,rialtpass似乎是响应的,并将他们的用户兴趣首先。”

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。