微慑信息网

LastPass 存在漏洞允许攻击者窃取密码

近期,Google 安全专家 Tavis Ormandy 在 Chrome 和 Firefox 浏览器中发现 LastPass 密码管理扩展程序存在多个漏洞。目前,LastPass 安全专家已成功修复所有漏洞。

Lastpass 是一个优秀的在线密码管理器和页面过滤器,它采用强大的加密算法,允许自动登录多款浏览器。(百度百科)

2017 年 3 月 16 日,Ormandy 在 Firefox 版本的 LastPass 扩展(版本 3.3.2 )中发现了一个漏洞,但他并没有及时公开披露细节。随后,Ormandy 于3月21日紧接着披露了另一个影响 LastPass 的 Chrome 和 Firefox 版本漏洞并表示该漏洞不仅允许攻击者窃取用户密码,还可以在受害者启用二进制组件时远程调用( RPC )命令执行任意代码。据悉,该漏洞的传播是由于 websiteConnector.js 脚本内容未经代理服务器邮件认证,攻击者可以利用该漏洞访问内部 LastPass RPC 命令。此外,Ormandy 还发现另一个漏洞允许任何域的窃取密码,具体报告将于未来一段时间内公布。

目前,LastPass的安全专家已成功修复所有漏洞并提醒用户及时更新系统,防止数据信息的再次泄露。

原作者:Pierluigi Paganini, 译者:青楚
本文由 HackerNews.cc 翻译整理,封面来源于网络。
转载请注明“转自 HackerNews.cc ” 并附上原文链接

 

from hackernews.cc.thanks for it.

赞(0) 打赏
转载请附本站链接,未经允许不得转载,,谢谢:微慑信息网-VulSee.com » LastPass 存在漏洞允许攻击者窃取密码

评论 抢沙发

微慑信息网 专注工匠精神

微慑信息网-VulSee.com-关注前沿安全态势,聚合网络安全漏洞信息,分享安全文档案例

访问我们联系我们

觉得文章有用就打赏一下文章作者

非常感谢你的打赏,我们将继续提供更多优质内容,让我们一起创建更加美好的网络世界!

支付宝扫一扫打赏

微信扫一扫打赏

登录

找回密码

注册