流行的LastPass密码经理的开发人员急于推出修复解决方法以解决可能让攻击者窃取用户的严重漏洞“密码或在计算机上执行恶意代码。
谷歌安全研究员Tavis Ormandy发现了该漏洞,并据报道周一踩踏。它影响了服务的浏览器扩展,用于Google Chrome,Mozilla Firefox和Microsoft Edge的服务。
根据Google Project offoge off错误跟踪器的描述,漏洞可能会给攻击者访问LastPass扩展内部的内部命令。这些是扩展用于复制密码或使用存储在用户安全保险库中的信息填写Web表单的命令。
如果安装了分机的二进制组件,则“OpenAttach”命令可用于在计算机上运行任意代码,Ormandy在Bug Tracker上表示。
LastPass开发人员在他们的服务器上部署了一个解决方法,以防止利用和计划在新版本中包含完整修复。
周二Ormandy报告了Firefox扩展中的另一个漏洞,根据LastPass开发人员,与第一个开发人员有关。该漏洞在新版本的Firefox Extension,4.1.36a,周三发布的新版本中得到了修复。
“我们没有迹象表明任何报告的漏洞都在野外被利用,但我们在这个时候彻底审查了确认,”LastPass开发人员在博客帖子中表示。“此时用户不需要更改密码更改。”
版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。