Tavis Ormandy是谷歌项目Zero Team的安全研究员,警告漏洞浏览器扩展,漏洞 - 如果一个人浏览到恶意网站 - 将允许恶意站点从密码管理器中窃取密码。
LastPass表示,它在其Chrome扩展中修补了漏洞,并表示它正在为Firefox附加组件的缺陷进行修复。
Ormandy最初表示,LastPass Bug影响了4.1.42 Chrome和Firefox浏览器扩展。他开发了一个运行Lastpass Chrome扩展的Windows框的工作漏洞,但是可以说它“可以在其他平台上工作。”在添加之前,他将详细信息发送到LastPass:
完全漏洞利用是两行JavaScript。#sigh¯/ _(ツ)_ /
“有很多RPCS [远程过程调用],允许完全控制LastPass扩展,包括窃取密码,”Ormandy写道。他的错误报告解释说,存在数百个内部特权的LastPass RPC命令,但LastPass用户不会想要访问允许复制密码的RPC的错误演员。
如果安装了“二进制组件” - 它默认在Firefox和Internet Explorer中 - 然后Ormandy表示,“这甚至允许任意代码执行。”如果您不知道,远程代码执行(RCE)是一个关键漏洞,并且随着缺陷而且缺陷;你可以像魔鬼一样想到它 - 除非你是一个想要远程控制目标的电脑的坏人,那么它将是你的朋友。
[评论这个故事,请访问Computerworld的Facebook页面。]如果您正在运行漏洞的LastPass浏览器扩展版本,则Ormandy验证概念演示将运行Windows Calculator。它似乎并不像火箭科学,掌握Windows计算器只在Windows上运行。尽管如此,在错误的报告中,Ormandy说谎最初告诉他“他们无法让我的利用来工作,但我检查了我的Apache访问日志,他们正在使用Mac。当然,Calc.exe不会出现在Mac上。“
LastPass首先提出了解决方法,但几个小时后宣布了安全问题已修复。详情将发表在公司的博客上,但在撰写本文时没有发布。
Ormandy没有透露细节,直到LastPass表示已经解决了Chrome扩展中的RCE漏洞。他希望LastPass解决了这个问题而不是刚刚删除DNS条目,或者在中间人攻击期间可以插入DNS响应。
几个小时后,Ormandy推文:
我在Lastpass 4.1.35(未被捕获)中找到了另一个错误,允许为任何域窃取密码。完整的报告将很快就是这样。
之后几个小时,LastPass推文,“我们知道对Firefox附加漏洞的报告。我们的安全正在调查和致力于发出修复。“
大约两周前,由于Mozilla计划从2017年底从其附加API转移到WebExtensions,计划退出LastPass 3.3.2 Firefox附加加载。3.3.2是Firefox最受欢迎的LastPass加载项,但它是由4月份的附加版本4.x取代。
这不是第一次保安研究人员,包括Ormandy,旨在瞄准rikens。如果您坚持LastPass,请确保您拥有最新的软件版本。有些人建议将其转储为不同的密码管理器,而其他专家则使用任何密码管理器说出比使用None更好,并在多个站点上重用相同的旧的可旧的可读取密码。
版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。