第二次,流行的LastPass密码管理器的两周开发人员正在努力解决一个严重的漏洞,可能允许恶意网站窃取用户密码或使用恶意软件的信息。
就像上周补丁的LastPass缺陷一样,新问题被发现并据报道,谷歌项目Zero Team的研究人员踩到了Tavis Ormandy。研究人员揭示了Twitter上的漏洞存在的漏洞,但没有发布有关它的任何技术细节,这可能允许攻击者利用它。
据Ormandy介绍,缺陷会影响所有主要浏览器的最新版本的LastPass浏览器扩展名。他声称在Windows和Linux上成功地测试了利用,但相信它也可能在Mac上工作。
如果还安装了扩展名为的二进制组件,则漏洞允许攻击者在用户访问Rogue网站时为用户执行恶意代码。如果组件不存在,则缺陷仍可用于从用户中提取密码“安全密码保险库。
为了使事情更糟糕,似乎在浏览器中的延伸的存在足以让缺陷是可利用的。Ormandy在Twitter上表示,即使用户已退出,攻击仍然有效。
这对于远程执行代码执行攻击仅是真实的,因为没有登录会话,密码保管库将保持加密,并且网站无法访问。
“我们现在正在积极解决这个脆弱性,”LastPass开发人员周一在博客文章中表示。“这种攻击是独一无二的,非常复杂。我们不想透露任何关于漏洞或我们的解决方案的任何特点,这可能会揭示对更复杂但邪恶的派对的任何东西。“
LastPass建议用户通过使用“启动”功能直接从其密码保管库中直接从中存储密码的网站。该公司还建议用户打开提供此选项的任何在线服务的双因素身份验证,并谨防网络钓鱼攻击和潜在恶意链接。
Ormandy认为,它将需要很长时间来解决这个脆弱性,因为它是“一个主要的建筑问题”。谷歌项目强制执行的标准漏洞披露截止日期为90天。
版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。