塔維斯·奧爾曼迪(Tavis Ormandy)再次襲擊。在二十四小時的空間中,著名的密碼經理LastPass中的強大listpass Google Project Zero Project Zero Project零頂部列表。第一個是在代碼JavaScript從該軟件中,無論使用哪種瀏覽器,攻擊者可以通過被困的網站竊取用戶的密碼。
如果用戶已安裝«LastPass二進制組件»- 擴展的肌肉版本,提供更多功能 - 攻擊者甚至能夠遠程執行任意代碼。要找出使用“二進制組件”版本,您必須轉到LastPass Drop -Down菜單,然後打開“更多選項 - >“關於LastPass”。如果您在提及的“二進制組件”或“可執行組件”旁邊看到“真實”一詞,則安裝了增加的版本。
哎呀,影響4.1.42(Chrome&FF)的新的LastPass錯誤。 RCE如果使用“二進制組件”,則可以竊取PWD。通道的完整報告。pic.twitter.com/y92vm3ibxd
-Tavis Ormandy(@taviso)2017年3月20日
幸運的是,無需驚慌。從那以後,LastPass具有播放一個補丁解決問題。最終,幾乎是因為在通知後不久,塔維斯·奧曼迪(Tavis Ormandy)在Twitter上指出,發現了第二個關鍵缺陷,允許“竊取任何字段密碼”。
https://twitter.com/taviso/status/8444312124541186048
這是一個類似於第一個的漏洞,但特定於Firefox版本。技術細節可用在線的。同樣,LastPass的工程師幸運的是,已經廣播了一個版本4.1.36a的補丁。
請注意,最後,LastPass剛剛糾正了第三個缺陷塔維斯·奧爾曼迪(Tavis Ormandy)大約一周前在分支3.3中檢測到。這實際上是Firefox上最常使用的,因為它是Addons.mozilla.org廣播的官方版本。要下載Firefox的LastPass 4,您必須去特殊頁面。
簡而言之,我們參加了一個真正的缺陷節。仍然令人放心的是,出版商迅速試圖糾正它們,以至於收穫了塔維斯·奧曼迪(Tavis Ormandy)的祝賀推文。這不是一無所有。
對速度的印象非常深刻@lastpass響應漏洞報告。如果只有所有供應商都是這個響應迅速的👍
-Tavis Ormandy(@taviso)2017年3月22日