LastPass修复了可能让恶意网站提取用户密码的漏洞

发表于:2019-9-17 17:36  作者:佚名   来源:cnBeta

字体: | 上一篇 | 下一篇 |我要投稿 | 推荐标签: 漏洞 LastPass

  LastPass修补了一个错误,该错误会使恶意网站提取该服务浏览器扩展程序输入的先前密码。ZDNet报告称该漏洞是由谷歌Project Zero团队的研究员Tavis Ormandy发现,并在8月29日一份漏洞报告中披露。 LastPass在9月13日修复了该问题,并将更新部署到针对所有浏览器的LastPass扩展当中。
  该漏洞工作原理是诱使用户进入恶意网站,并欺骗浏览器扩展程序使用以前访问过的网站密码。 Ormandy指出,攻击者可以使用谷歌翻译等服务伪装恶意网站地址,并诱使易受攻击的用户访问流氓网站。
  
  虽然LastPass说应该补丁自动更新,但您一定要检查您的LastPass扩展是否是最新版本,特别是如果您使用的浏览器允许您禁用扩展自动更新。这个更新之后,LastPass浏览器扩展的版本号是4.33.0。LastPass表示,它认为只有Chrome和Opera浏览器受到了这个漏洞的影响,但是还是采用严格预防措施,它已经为所有浏览器LastPass扩展部署了相同的补丁。
  在其博客上发布的一份声明中,LastPass淡化了该漏洞严重性。该公司安全工程经理Ferenc Kun表示,该漏洞依赖于用户访问恶意网站,然后被“欺骗”多次点击相关恶意页面。但Ormandy仍然将该漏洞评为“高”严重等级。

     上文内容不用于商业目的,如涉及知识产权问题,请权利人联系博为峰小编(021-64471599-8017),我们将立即处理

【大佬说】测试员跳槽时,如何高效地准备面试?

评 论

论坛新帖

顶部 底部


建议使用IE 6.0以上浏览器,800×600以上分辨率,法律顾问:上海瀛东律师事务所 张楠律师
版权所有 上海博为峰软件技术股份有限公司 Copyright©51testing.com 2003-2019, 沪ICP备05003035号
投诉及意见反馈:webmaster@51testing.com; 业务联系:service@51testing.com 021-64471599-8017

沪公网安备 31010102002173号

51Testing官方微信

51Testing官方微博

扫一扫 测试知识全知道