Google安全研究小组Project Zero近日发现一款密码管理工具LastPass存在严重漏洞,其能泄露使用者最后一次登录网站的密码,所幸现在LastPass已将该漏洞进行了修补。
据悉,此漏洞由Google Project Zero研究员Tarvis Ormandy发现并通报给LastPass。该漏洞出现在浏览器扩展插件应用时弹出窗口过程中,在某些情况下,网站可通过建立HTML iFrame连到LastPass的popupfilltab.html窗口,而不是经由调用do_popupregister()程序的正常管道。某些情况下,这可能导致弹出窗口用最后一次访问网站的密码开启,而这表明只要使用劫持方法,就能获得前一个网站的登录密码了。
该研究员还模拟了攻击,整个过程相当简单。用户如果使用了LastPass浏览器扩展插件的话,攻击者就能通过一个仿冒谷歌翻译的恶意URL引诱用户点击,而用户一旦点击此链接后,其最后一次登录网站的帐号密码便被攻击者拿到了。
本漏洞影响LastPass上周才放出的4.33.0版,不过LastPass表示受影响的浏览器仅有Chrome和Opera浏览器。目前LastPass表示漏洞已经解决,用户无需做任何升级,LastPass的浏览器扩展插件会自动更新。不过为了防止泄露出现,该公司还针对所有浏览器部署升级至4.33.4版。
LastPass建议使用者开启多因子验证,安装最新的杀毒程序,不要重复使用LastPass主密码,同时也不要多帐号使用同一密码。
如今电商、社交网站林立,密码管理工具自然成为骇客的攻击目标,因此对于网友来说,一定不要因为偷懒而设置和使用弱密码哟,防止遭受意外损失。
本文属于原创文章,如若转载,请注明来源:密码管理工具LastPass现漏洞 可泄露密码//safe.zol.com.cn/727/7272660.html
