塔维斯·奥曼迪再次出击。在 24 小时内,强大的 Google 侦探“零计划”发现了 LastPass 浏览器扩展(著名的密码管理器)中的两个关键安全漏洞。第一个是在一个JavaScript 代码该软件允许攻击者通过受欺骗的网站窃取用户的密码,无论使用何种浏览器。
如果用户已经安装了« LastPass 二进制组件 »– 扩展的增强版本,提供更多功能 – 攻击者甚至能够远程执行任意代码。要了解您是否使用“二进制组件”版本,请转到 LastPass 下拉菜单,然后打开“更多选项 -> 关于 LastPass”。如果您看到“二进制组件”旁边的“true”一词,则说明已安装增强版。
糟糕,新的 LastPass 错误影响了 4.1.42 (Chrome&FF)。 RCE如果你使用“二进制组件”,否则可以窃取密码。完整报告正在路上。pic.twitter.com/y92vm3Ibxd
— 塔维斯·奥曼迪 (@taviso)2017 年 3 月 20 日
幸运的是,没有必要惊慌。从那时起,LastPass发布了一个补丁这解决了问题。好吧,几乎是这样,因为在收到此通知后不久,Tavis Ormandy 在 Twitter 上报告说,他发现了第二个严重缺陷,允许“窃取任何域的密码”。
https://twitter.com/taviso/status/844312124541186048
该漏洞与第一个漏洞类似,但版本特定于 Firefox。技术细节可提供在线的。幸运的是,LastPass 工程师已经发布了 4.1.36a 版本的补丁。
最后请注意,LastPass 刚刚更正了第三个缺陷Tavis Ormandy 大约一周前在分支 3.3 中检测到了这一点。这实际上是 Firefox 上最常用的,因为它是由 addons.mozilla.org 分发的官方版本。要下载适用于 Firefox 的 Lastpass 4,您必须转至特别页面。
简而言之,我们见证了 LastPass 真正的缺陷盛宴。仍然令人放心的是,编辑努力迅速纠正它们,甚至收到了塔维斯·奥曼迪的祝贺推文。这并不是什么都没有。
速度之快令人印象深刻@最后通行证响应漏洞报告。如果所有供应商都能如此积极响应就好了👍
— 塔维斯·奥曼迪 (@taviso)2017 年 3 月 22 日
