安全是密码管理软件的基石,在此基础上搭建的用户体验、功能等才能安稳。作为拥有800万用户的热门密码管理软件,LastPass近日连续被曝光了两个零日漏洞,不过所幸的是目前并没有任何证据表明该漏洞被黑客利用,而且公司已经着手修复曝光的第二个问题。
QQ截图20170330090954.png
本月20日,Google Project Zero项目的白帽黑客Tavis Ormandy发现LastPass Chrome扩展中存在一个可利用的内容脚本,将导致恶意网页能够从该管理器内提取到密码内容。
然而,由于受到所发现安全漏洞的影响,如今用户在浏览恶意网站时,其LastPass中的所保存的全部密码内容亦将被对方所发现。由Ormandy发现的这一薄弱LastPass脚本可能被利用以访问该管理器的内部数据。
另外,该脚本亦可被滥用以在受害者的计算机上执行各类命令——Ormandy演示了如何通过打开网页的方式运行计算器(calc.exe)。在这种情况下,恶意网站能够借此将恶意软件投放至访客设备之上。受害者必须安装有LastPass的二进制组件,方会受到这类攻击的影响。
美国东部时间3月22日下午2点49分钟,面向Firefox和Chrome浏览器的扩展程序发布了包含补丁程序的新版本,而Opera和Edge浏览器的扩展程序目前还在审核状态。随后,LastPass团队在私人博客上发布了关于本次BUG的完整报告。
3月25日,Tavis在推文中披露了另一个漏洞,影响4.1.43版本,是Google Chrome的最新版本。为此这款知名密码管理软件的团队在3月20日发布的博文中再添加了一项声明:
2017年3月25日(下午5点)更新:我们的团队目前正在调查Tavis Ormandy报告的新问题,当我们掌握充足信息的时候我们将会在社区内进行公布。谢谢大家的支持。
本文转自d1net(转载)
相关资源:敏捷开发V1.0.pptx