lastpass安全漏洞可能让黑客通过浏览器扩展窃取密码
一位研究人员本周透露,一个LastPass安全漏洞可能允许恶意攻击者窃取用户密码。
周一,谷歌研究人员塔维斯·奥曼迪(Tavis Ormandy)报告了流行密码管理工具中的漏洞。在这个问题的概要中,Ormandy解释说,一个编码缺陷允许任何人将未经验证的消息“代理”到LastPass浏览器扩展。通过利用这个问题,黑客可以获得访问特权LastPass命令的权限——包括“明显不好的命令”,例如“复制和填写密码(copypass、fillform等)”
LastPass在今天发布的一篇短文中解释说,这个问题与所有LastPass浏览器客户端上的一个实验性功能有关(Ormandy报告了多个漏洞,尽管该公司表示这些漏洞“基本相同”。)该公司在漏洞被公开披露之前发布了一个修复程序,并表示用户的更新应该自动应用。LastPass当前没有要求用户更新任何密码。
该公司在博客中说:“我们没有迹象表明任何报告的漏洞是在野外被利用的,但目前我们正在进行彻底的审查以确认。”我们将很快提供更全面的事件摘要,以及我们社区需要了解的内容。”
这不是Ormandy第一次在LastPass中报告问题。去年,研究人员向该公司发送了一份关于“完全远程妥协”的报告。在Twitter上,这一次他认为LastPass反应迅速。”“对@LastPass响应漏洞报告的速度印象深刻,”他写道如果所有供应商都能做出这样的反应就好了。”
- 发表于 2021-05-10 09:54
- 阅读 ( 73 )
- 分类:互联网
你可能感兴趣的文章
你的密码管理器安全吗?比较了5项服务
...Excel中,当您不在家时,使用纸和笔编写它们是不好的,浏览器密码管理器也不如密码管理器安全。 ...
密码管理器不足以保证密码安全的4个原因
... 但黑客证明了安全漏洞的存在。被授权人进入只是时间问题吗?可能。 ...
8个简单的方法来加强你的最后通行证安全
... LastPass需要一个浏览器扩展来自动填充你的密码。这是它工作方式的一个重要部分;如果它不能自动填充密码,使用这项服务的人就会减少。 ...
您是否已采取以下5个步骤来保护您的在线帐户?
...要使用LastPass,一个很棒的密码管理器,作为你最喜欢的浏览器的扩展。进入“功能表”>“更多选项”>“安全挑战”开始。 ...
使用密码管理器的7个理由
... 密码管理器是免费提供的,作为您的web浏览器的一部分,或作为高级订阅。它们对于管理您的在线帐户至关重要——原因如下: ...
bitwarden是lastpass最好的免费替代品
...查看它的下载页面时,它会显示出来。你会发现所有流行浏览器的扩展,但你不会看到一个原生的桌面应用程序(只有Android、iPhone和iPad)。 从安全角度来说,有一个理由可以让你的用户名和密码远离你的浏览器(你的家人可能...
最后一次对比特看守:哪一个对你合适?
...,LastPass更容易使用。无论是web客户端的设计,还是使用浏览器扩展实现自动填充功能的无缝工作方式。 Bitwarden倾向于实用的一面,其功能是为超级用户设计的。浏览器的自动填充功能就是一个很好的例子。当你想使用Bitwarden登...
解决lastpass安全挑战的最佳方法
... 如何应对安全挑战 如果您是LastPass用户,则可以通过浏览器扩展、web或移动应用程序访问挑战。 在web浏览器中,单击LastPass浏览器扩展图标,然后选择“帐户选项”>“安全挑战”。在LastPass网站上,单击vault屏幕左下角的“...
如何检查密码是否被盗
...的视图。此列表显示自上次更改密码以来,哪些网站存在安全漏洞,这意味着您的密码可能已泄露。最好更改出现在此处的任何站点的密码。 1密码 基于web的1Password password manager现在也可以检查您的密码是否被泄露。事实上,1...
您应该在密码管理器中关闭自动填充
...Firefox或Edge这样的内置密码管理器,还是像LastPass这样的浏览器扩展。因此,您可能应该禁用自动填充功能以防止发生这种情况。 autofill是如何泄露您的信息的 在网站上保存用户名和密码时,密码管理器会记住它们。从那时起...
0 篇文章
