LastPass 存在漏洞允许攻击者窃取密码

近期，Google 安全专家 Tavis Ormandy 在 Chrome 和 Firefox 浏览器中发现 LastPass 密码管理扩展程序存在多个漏洞。目前，LastPass 安全专家已成功修复所有漏洞。

Lastpass 是一个优秀的在线密码管理器和页面过滤器，它采用强大的加密算法，允许自动登录多款浏览器。（百度百科）

2017 年 3 月 16 日，Ormandy 在 Firefox 版本的 LastPass 扩展（版本 3.3.2 ）中发现了一个漏洞，但他并没有及时公开披露细节。随后，Ormandy 于3月21日紧接着披露了另一个影响 LastPass 的 Chrome 和 Firefox 版本漏洞并表示该漏洞不仅允许攻击者窃取用户密码，还可以在受害者启用二进制组件时远程调用（ RPC ）命令执行任意代码。据悉，该漏洞的传播是由于 websiteConnector.js 脚本内容未经代理服务器邮件认证，攻击者可以利用该漏洞访问内部 LastPass RPC 命令。此外，Ormandy 还发现另一个漏洞允许任何域的窃取密码，具体报告将于未来一段时间内公布。

目前，LastPass的安全专家已成功修复所有漏洞并提醒用户及时更新系统，防止数据信息的再次泄露。

原作者：Pierluigi Paganini， 译者：青楚
本文由 HackerNews.cc 翻译整理，封面来源于网络。
转载请注明“转自 HackerNews.cc ” 并附上原文链接

from hackernews.cc.thanks for it.