LastPass释放修复浏览器扩展安全漏洞
在安全研究人员报告了受影响个人和商业用户的两个漏洞之后,LastPass已经为其密码管理器冲出了修复。
由Google Security研究员Tavis Ormandy发现的第一个漏洞可能使攻击者窃取用户的密码或在计算机上执行恶意代码。
安全漏洞影响了Google Chrome,Mozilla Firefox和Microsoft Edge的LastPass浏览器扩展。
根据Google Project Zero Gug报告,该漏洞可能使攻击者访问LastPass扩展内部的内部命令。
弱势命令是使用存储在用户安全保险库中的信息复制密码或填写Web表单的浏览器扩展名。
Ormandy表示,如果安装了扩展的二进制组件,攻击者可能已经使用“OpenAttach”命令在计算机上运行任意代码,但是,根据LastPass,这会影响少于10%的用户。
Firefox扩展中的第二个漏洞与第一个有关,并已在最新版本中修复:4.1.36A。
根据LastPass,其日期调查尚未表明任何敏感的用户数据都丢失或损害。
该公司在博客帖子中表示,所有扩展都被修补并重新发布给用户,并添加了Android和iOS的LastPass移动应用程序不受影响。
该公司还表示不需要更改主密码更改,并且不需要更改网站凭据密码,但敦促用户确保他们拥有最新版本的浏览器扩展。
LastPass表示,大多数用户将自动更新,但可以在此处下载最新版本。
用户可以通过单击浏览器中的LastPass徽标来检查其扩展版本,单击“更多选项”,然后“关于LastPass”。
最新版本是Firefox:4.1.36,Chrome:4.1.43.82,边缘:4.1.30和歌剧:4.1.28.
要利用报告的漏洞,LastPass表示攻击者将首先引诱用户到恶意网站。
一旦在恶意网站上,Ormandy演示了攻击者如何调用LastPass Applciation编程接口(API),或者在某些情况下,运行任意代码,同时显示为可信任。
这样做会允许攻击者从LastPass帐户中可能检索和公开信息,例如用户的登录凭据。
提供有关Firefox 3.3.2消息劫持错误的更多详细信息,LastPass表示Firefox 3.3.2中的URL解析过程中的缺陷已启用恶意网站,以欺骗合法的网站并欺骗LastPass附加进入提供用户网站凭据。
“去年我们的团队向我们的团队报告了这个错误,并在那个时候固定了。但是,该修复程序不会被推到我们的遗留Firefox 3.3.x分支;该公司于4月份安排了正式退休,“该公司表示。
“我们强烈建议将Firefox 4.1.36从LastPass.com/Download更新。用户还可以更新到Firefox 3.3.4,但是,正如我们之前所指出的那样,3.x版本的Lastpass将在未来几周退休。“
LastPass推荐用户:
不要点击陌生人的链接或似乎脱离字符。每个在线帐户都使用不同的唯一密码。为其LastPass帐户使用强大的安全主密码。打开级联和其他服务的双因素身份验证。运行防病毒并将所有软件保持最新。为了防止未来这些问题,LastPass表示,它正在加强其代码审查和安全过程,特别是在新的和实验特征。
“我们非常重视Ormandy,Project Zero和其他White-Hat研究人员提供的工作。当这种安全模型用于负责任地披露错误时,我们都受益,并且自信的LastPass是强烈的关注。我们欢迎所有研究人员通过在HTTPS://bugcrowd.com/lastpass中获取所有研究人员的贡献。“
TOD Heardsley,Rapid7的研究总监表示,LastPass的问题表明安全软件就像任何其他合理的复杂软件一样。“都有错误,有时这些错误有安全影响,”他说。
根据Beardsley的说法,密码管理人员仍然无限更优于人类生成的人类难忘的密码。
“与密码重用相关的风险远远大于与特定密码管理器中的零天漏洞相关的风险,”他说。
“没有迹象表明谷歌报告的问题正在剥削今天,rialtpass似乎是响应的,并将他们的用户兴趣首先。”