LastPass密碼管理員漏洞連環爆 愛用者要小心了!

 

LastPass密碼管理員漏洞連環爆 愛用者要小心了!

Google Project Zero研究人員Travis Ormandy近日發現,連知名密碼管理軟體LastPass都存在重大安全瑕疵。這個瑕疵可能讓駭客竊走密碼及身份資料。

一開始只有LastPass 3.3.2版被通報有臭蟲。Ormandy之前都未揭露他的發現,而且LastPass團隊好像現在也正在開發修補程式。但事情還沒結束。在LastPass宣佈修補完後後,Ormandy又發現另一個重大瑕疵。

根據Google Project Zero的發現,這項漏洞非常嚴重,它允許駭客竊取任何網域的用戶密碼,而如果受害者裝置安裝的是這個擴充程式的二進位版,駭客為禍將更厲害。駭客可以下指令開採漏洞以執行程式碼。

Ormandy後來公開了這個漏洞詳情,分享概念驗證(Proof of Concept)攻擊,說明這個漏洞是受websiteConnector.js 內容腳本程式觸發。駭客向LastPass送出未經驗證的訊息後就能利用這個腳本程式進行攻擊,藉此執行任意程式碼或竊取密碼。

LastPass工程師Lauren VanDam在其部落格寫道,這些漏洞的修補程式已經發送給所有用戶,大部份的人都能自動獲得更新。此外,VanDam也表示目前公司沒有發現任何漏洞攻擊的情況。

一開始只有LastPass 3.3.2版被通報有臭蟲。Ormandy之前都未揭露他的發現,而且LastPass團隊好像現在也正在開發修補程式。但事情還沒結束。在LastPass宣佈修補完後後,Ormandy又發現另一個重大瑕疵。

 

參考資料

LastPass密碼管理員漏洞連環爆 愛用者要小心了!

http://webhy.com.tw/