微慑信息网

LastPass 存在漏洞允许攻击者窃取密码

近期,Google 安全专家 Tavis Ormandy 在 Chrome 和 Firefox 浏览器中发现 LastPass 密码管理扩展程序存在多个漏洞。目前,LastPass 安全专家已成功修复所有漏洞。

Lastpass 是一个优秀的在线密码管理器和页面过滤器,它采用强大的加密算法,允许自动登录多款浏览器。(百度百科)

2017 年 3 月 16 日,Ormandy 在 Firefox 版本的 LastPass 扩展(版本 3.3.2 )中发现了一个漏洞,但他并没有及时公开披露细节。随后,Ormandy 于3月21日紧接着披露了另一个影响 LastPass 的 Chrome 和 Firefox 版本漏洞并表示该漏洞不仅允许攻击者窃取用户密码,还可以在受害者启用二进制组件时远程调用( RPC )命令执行任意代码。据悉,该漏洞的传播是由于 websiteConnector.js 脚本内容未经代理服务器邮件认证,攻击者可以利用该漏洞访问内部 LastPass RPC 命令。此外,Ormandy 还发现另一个漏洞允许任何域的窃取密码,具体报告将于未来一段时间内公布。

目前,LastPass的安全专家已成功修复所有漏洞并提醒用户及时更新系统,防止数据信息的再次泄露。

原作者:Pierluigi Paganini, 译者:青楚
本文由 HackerNews.cc 翻译整理,封面来源于网络。
转载请注明“转自 HackerNews.cc ” 并附上原文链接

 

from hackernews.cc.thanks for it.

本文标题:LastPass 存在漏洞允许攻击者窃取密码
本文链接:
(转载请附上本文链接)
http://vulsee.com/archives/vulsee_2017/0324_474.html
转载请附本站链接,未经允许不得转载,,谢谢:微慑信息网-VulSee.com » LastPass 存在漏洞允许攻击者窃取密码
分享到: 更多 (0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

微慑信息网 专注工匠精神

访问我们联系我们