LastPass Chrome和Firefox Extensions中的密码窃取缺陷 Debenhams在所有商店中滚出Doddle点击和收集服务 美国立法者问题警察使用面部识别技术 行星地球II显示4K毕竟有机会 微软拨款40米至五年推动,探索“为人类良好”的使用案例 印第安纳加入爱达荷州,声称DHS试图破解他们的选举制度 风筝冲浪可以在线放车 CIA False Flag团队重新浏览Shamoon Data Wiper,其他恶意软件 Synercale DataceRe Capex Investments击中了新的高峰,协同研究表明 政府推出数字经济竞争审查 布莱顿的5G实验进入了新的测试阶段,重点是虚拟现实 会计转储Dell SAN为风暴超融合 ico罚款艾玛的日记140,000英镑 Microsoft的Windows Server OS在ARM上运行,具有Qualcomm的帮助 HMD的新诺基亚3310转回时钟 - 然后转动头部 网络钓鱼仍然是Top Faud Enabler,RSA报告 对DPA的反GDP移民豁免挑战 智能泰迪熊制造商面临审查数据违约响应 这个微小的芯片可以彻底改变智能手机和IOT安全性 Azure Stack的第三次技术预览到达 三星Bixby - 虚拟助手可以做什么 软件开发仍然不安全 华为展示巴塞罗那的新手机,渴望被急切的人群被击球 Waymo担心优步可以在秘密法庭文件中窥视 Digiplex的北欧北欧的浪费热量为温暖的5,000奥斯陆住宅 公民咨询使超级投诉对RIP-OFF电话费 全纤维宽带渗透率达到5% Amnesty International创造了人权数字档案 Mediatek将占用Windows 10 PC的ARM比赛 FCC将刹车对ISP隐私规则进行了刚刚通过的ISP隐私规则 小提琴推出XVS8旗舰高性能闪光阵列 Android升级报告卡:在Nougat的制造商进行评分 更多女孩在2018年拍摄GCSE计算,但他们会带茎吗? 迪拜卫生管理局发起人工智能战略 当生活给你一个3D打印机时,让房子 LinkedIn将帮助印度培训的人为半熟练的工作 美国科学椅子上的威胁下的计算领导 调查发现,英国犹豫不决沉浸式技术尽管存在态度,但调查发现 营业:微软在利用跨行业合作来驱动AI在企业中使用 谷歌引用Android安全的进度,但修补问题徘徊 它在十字路口领导着与数字技术抓住的十字路口 一些HTTPS检测工具可能会削弱安全性 禁令开启培训中心,以帮助解决中东技能短缺 4收费,包括俄罗斯政府代理商,用于大规模雅虎黑客 区块链在澳大利亚上升了 COG Systems提供更安全版本的HTC A9智能手机 禁令开启培训中心,以帮助解决中东技能短缺 Berners-Lee的创业公司承诺更多地控制Web数据 Hackerone为免费提供Bug Bounty Service,可免费提供服务 L.A.和NYC仍然在无线表现中落后于较小的城市
您的位置:首页 >计算机基础 >

LastPass Chrome和Firefox Extensions中的密码窃取缺陷

Tavis Ormandy是谷歌项目Zero Team的安全研究员,警告漏洞浏览器扩展,漏洞 - 如果一个人浏览到恶意网站 - 将允许恶意站点从密码管理器中窃取密码。

LastPass表示,它在其Chrome扩展中修补了漏洞,并表示它正在为Firefox附加组件的缺陷进行修复。

Ormandy最初表示,LastPass Bug影响了4.1.42 Chrome和Firefox浏览器扩展。他开发了一个运行Lastpass Chrome扩展的Windows框的工作漏洞,但是可以说它“可以在其他平台上工作。”在添加之前,他将详细信息发送到LastPass:

完全漏洞利用是两行JavaScript。#sigh¯/ _(ツ)_ /

“有很多RPCS [远程过程调用],允许完全控制LastPass扩展,包括窃取密码,”Ormandy写道。他的错误报告解释说,存在数百个内部特权的LastPass RPC命令,但LastPass用户不会想要访问允许复制密码的RPC的错误演员。

如果安装了“二进制组件” - 它默认在Firefox和Internet Explorer中 - 然后Ormandy表示,“这甚至允许任意代码执行。”如果您不知道,远程代码执行(RCE)是一个关键漏洞,并且随着缺陷而且缺陷;你可以像魔鬼一样想到它 - 除非你是一个想要远程控制目标的电脑的坏人,那么它将是你的朋友。

[评论这个故事,请访问Computerworld的Facebook页面。]

如果您正在运行漏洞的LastPass浏览器扩展版本,则Ormandy验证概念演示将运行Windows Calculator。它似乎并不像火箭科学,掌握Windows计算器只在Windows上运行。尽管如此,在错误的报告中,Ormandy说谎最初告诉他“他们无法让我的利用来工作,但我检查了我的Apache访问日志,他们正在使用Mac。当然,Calc.exe不会出现在Mac上。“

LastPass首先提出了解决方法,但几个小时后宣布了安全问题已修复。详情将发表在公司的博客上,但在撰写本文时没有发布。

Ormandy没有透露细节,直到LastPass表示已经解决了Chrome扩展中的RCE漏洞。他希望LastPass解决了这个问题而不是刚刚删除DNS条目,或者在中间人攻击期间可以插入DNS响应。

几个小时后,Ormandy推文:

我在Lastpass 4.1.35(未被捕获)中找到了另一个错误,允许为任何域窃取密码。完整的报告将很快就是这样。

之后几个小时,LastPass推文,“我们知道对Firefox附加漏洞的报告。我们的安全正在调查和致力于发出修复。“

大约两周前,由于Mozilla计划从2017年底从其附加API转移到WebExtensions,计划退出LastPass 3.3.2 Firefox附加加载。3.3.2是Firefox最受欢迎的LastPass加载项,但它是由4月份的附加版本4.x取代。

这不是第一次保安研究人员,包括Ormandy,旨在瞄准rikens。如果您坚持LastPass,请确保您拥有最新的软件版本。有些人建议将其转储为不同的密码管理器,而其他专家则使用任何密码管理器说出比使用None更好,并在多个站点上重用相同的旧的可旧的可读取密码。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。