塔維斯·奧曼迪再次出擊。在 24 小時內,強大的 Google 偵探「零計畫」發現了 LastPass 瀏覽器擴充功能(著名的密碼管理器)中的兩個關鍵安全漏洞。第一個是在一個JavaScript 程式碼該軟體允許攻擊者透過受欺騙的網站竊取使用者的密碼,無論使用何種瀏覽器。
如果用戶已經安裝了« LastPass 二進位元件 »– 擴充功能的增強版本,提供更多功能 – 攻擊者甚至能夠遠端執行任意程式碼。若要了解您是否使用「二進位元件」版本,請前往 LastPass 下拉式選單,然後開啟「更多選項 -> 關於 LastPass」。如果您看到“二進位組件”旁邊的“true”一詞,則表示已安裝增強版。
糟糕,新的 LastPass 錯誤影響了 4.1.42 (Chrome&FF)。 RCE如果你使用“二進位元件”,否則可以竊取密碼。完整報告正在路上。pic.twitter.com/y92vm3Ibxd
— 塔維斯‧奧曼迪 (@taviso)2017 年 3 月 20 日
幸運的是,沒有必要驚慌。從那時起,LastPass發布了一個補丁這解決了問題。好吧,幾乎是這樣,因為在收到此通知後不久,Tavis Ormandy 在 Twitter 上報告說,他發現了第二個嚴重缺陷,允許「竊取任何網域的密碼」。
https://twitter.com/taviso/status/844312124541186048
該漏洞與第一個漏洞類似,但版本特定於 Firefox。技術細節可提供在線的。幸運的是,LastPass 工程師已經發布了 4.1.36a 版本的修補程式。
最後請注意,LastPass 剛剛更正了第三個缺陷Tavis Ormandy 大約一週前在分支 3.3 中檢測到了這一點。這實際上是 Firefox 上最常用的,因為它是由 addons.mozilla.org 分發的官方版本。若要下載適用於 Firefox 的 Lastpass 4,您必須前往特別頁面。
簡而言之,我們見證了 LastPass 真正的缺陷盛宴。仍然令人放心的是,編輯努力迅速糾正它們,甚至收到了塔維斯·奧曼迪的祝賀推文。這並不是什麼都沒有。
速度之快令人印象深刻@最後通行證響應漏洞報告。如果所有供應商都能如此積極回應就好了👍
— 塔維斯‧奧曼迪 (@taviso)2017 年 3 月 22 日
