LastPass安全漏洞泄漏上次用于登录网站的凭据

LastPass，被认为是今天最受欢迎的密码管理器应用程序。

LastPass密码管理器扩展中的安全漏洞可能允许窃取上次用于登录网站的凭据。谷歌Chrome和Opera网络浏览器可以利用这个漏洞，并且需要一些努力才能获得成功，因为目标需要经过几个步骤。

密码管理器LastPass上周发布了一个更新，修复了一个安全漏洞，该漏洞暴露了在以前访问过的网站上输入的凭据，该版本于9月12日发布。

不是一件容易的事

这个漏洞是上个月由谷歌精英安全和狩猎团队Project Zero的安全研究员Tavis Ormandy发现的。

如果用户尚未为其LastPass浏览器扩展程序或移动应用程序启用自动更新机制，则建议他们尽快执行手动更新。

这是因为昨天，Ormandy公布了他发现的安全漏洞的细节。安全研究人员的错误报告会指示攻击者完成重现错误所需的步骤。

Google安全工程师Tavis Ormandy发现攻击者可以为使用LastPass登录帐户并将其引导至加载了专门创建的iframe的受感染或恶意网站的用户创建有效的点击劫持方案。

在提交给LastPass的漏洞披露中，研究人员详细说明了技术方面以及后续点击劫持如何揭示受害者使用的最后凭证。

他解释说，如果所有行动都发生在同一个标签中，盗窃就会成功。通过将提示输入密码的弹出窗口置于iframe中，跳过验证链中的一个步骤，并且将泄漏当前选项卡的最后一个缓存值。

“这意味着通过一些点击劫持，您可以泄漏为当前选项卡登录的先前站点的凭据，”Ormandy在 8月底的LastPass 报告中解释道。

在修补了一段时间后，研究人员找到了一种在Google网站上自动化凭据泄漏的方法。虽然该方法可能不适用于所有网站，但Ormandy认为该错误具有较高的严重性。

研究人员指出，在LastPass中发现的其他问题可能会被攻击者利用。其中之一是由于缺乏对可信事件的检查而生成任意热键事件的可能性。

另一个问题是允许禁用多个安全检查，而第三个允许绕过几个与安全相关的验证。

“我认为将这种'高'严重程度称为公平，即使它不适用于所有* URL，”Ormandy说。

由于该漏洞被谷歌发现并随后私下报告，因此没有理由相信这个漏洞已在野外被利用。LastPass发言人没有回复评论请求。

由于可修复的错误，请不要放弃密码管理器

密码管理器的制造商承认了这个漏洞，周五他们发布了一份通知，宣布他们已经解决了这个漏洞。

该公司指出  ，“虽然由于该漏洞导致的任何潜在风险仅限于特定浏览器（Chrome和Opera），但作为预防措施，我们已将更新部署到所有浏览器。” 该过程是自动进行的，因此用户无需采取任何措施。

与任何其他应用程序一样，密码管理器有时容易受到漏洞的攻击，这些漏洞在所难免。

尽管存在此漏洞，仍建议用户尽可能依赖密码管理器。使用密码管理器比将密码存储在浏览器中要好很多倍，从而可以通过取证工具和恶意软件轻松提取密码。

今年夏天，当公司无法满足美国缉毒局（DEA）的法律要求时，LastPass在保护密码远离窥探方面的效率得到了证实。

该公司曾被警察警告交出关于用户的信息，如密码和家庭地址，但该公司未遵守命令，因为数据被加密，他们不能访问它。

漏洞细节查看：

https://bugs.chromium.org/p/project-zero/issues/detail?id=1930

转发是对我们最大的鼓励

                                                                                            点个在看吧↓

原文始发于微信公众号（红数位）：LastPass安全漏洞泄漏上次用于登录网站的凭据