更新时间:2021-09-29 15:14:41
LastPass修复了一个错误,该错误将导致恶意网站提取服务的浏览器扩展所输入的先前密码。ZDNet报道称,该漏洞是由Google Project Zero团队的研究员塔维斯奥曼迪发现的,并在8月29日的错误报告中披露。9月13日,LastPass修复了这个问题,并将更新部署到所有应该自动应用的浏览器上,让LastPass用户可以智能验证。
该错误诱使用户进入恶意网站,并欺骗浏览器扩展使用以前访问过的网站的密码。奥曼迪指出,攻击者可以使用谷歌翻译和其他服务来伪装恶意网址,并诱使易受攻击的用户访问流氓网站。
LastPass可能会显示上次使用的凭据,因为缓存没有更新。这是因为您可以通过以意外的方式包含登录表单来绕过正在填充的选项卡凭据缓存。
虽然LastPass说应该自动应用更新,但是您必须检查您是否正在运行该服务的最新版本的浏览器扩展,尤其是如果您正在使用的浏览器允许您禁用扩展的自动更新。这个错误修复了4.33.0版本的扩展。LastPass表示,它认为只有Chrome和Opera浏览器受到此漏洞的影响,但它已经为所有浏览器部署了相同的补丁,以采取预防措施。
在他博客上发布的一份声明中,LastPass淡化了该漏洞的严重性。该公司安全工程经理费伦茨昆(Ferenc Kun)表示,该漏洞依赖于用户访问恶意网站,然后他们被“骗”多次点击页面。奥曼迪仍然给出了漏洞的“高”严重性级别。在宣布之前,错误被负责任地宣布给了LastPass,并且没有证据表明该漏洞已经部署在网络上。
尽管有这个错误,使用密码管理器来保证您的在线安全仍然是一个很好的方法。此错误的存在突出表明,密码管理器(如任何在线服务)可能仍然容易受到安全问题的影响。因此,最好在任何支持双因素身份验证的站点上添加双因素身份验证,同时使用一个在服务之间永远不会重复使用的强唯一密码。