等等,LastPass?流行的密码管理器LastPass上周发布了一个更新,修复了一个安全漏洞,该漏洞暴露了以前访问的网站上输入的凭据。
该漏洞是8月29日由零号项目上个月发现的。零项目(Project Zero)是Google的白帽黑客团队,他们致力于寻找消费类产品中的安全漏洞。最近团队做了 iOS公开中的主要缺陷.
LastPass,修复了报告的问题 版本4.33.0,于9月12日发布。随着漏洞的修复,Tavis Ormandy昨天在Project 0进行的一项研究取消了对 安全研究员’s bug report。该报告详细介绍了攻击者重现执行恶意JavaScript所产生的错误所需的步骤。
JavaScript代码可能已嵌入任何网站中,并带有Google Translate URL。攻击者可能诱骗用户访问该链接。如果攻击者成功欺骗用户访问链接,则他们可能已经从以前访问的站点中提取了凭据。
“要利用此错误,LastPass用户需要采取一系列措施,包括用LastPass图标填充密码,然后访问受感染或恶意的网站,最后被诱骗多次单击页面,” LastPass的安全工程经理Ferenc Kun写道 在一份声明中.
这个问题显然是特定于Chrome和Opera的(Opera是 Chromium-based 浏览器)。 LastPass表示已谨慎地将安全更新部署到所有浏览器。
虽然LastPass过去有多个安全漏洞,但lastpass和其他密码管理器对安全性很有帮助。现实是将所有密码数据存储在浏览器中的替代方法是一个糟糕的主意。虽然我使用LastPass已经很多年了,但是我不再推荐给其他人了。 Privacytools.io 为安全的密码管理器提供了一些建议。
评论已关闭,但 引用 和pingback是开放的。