一位研究人員本週透露,一個LastPass安全漏洞可能允許惡意攻擊者竊取使用者密碼。
週一,谷歌研究人員塔維斯·奧曼迪(Tavis Ormandy)報告了流行密碼管理工具中的漏洞。在這個問題的概要中,Ormandy解釋說,一個編碼缺陷允許任何人將未經驗證的訊息“代理”到LastPass瀏覽器擴充套件。透過利用這個問題,駭客可以獲得訪問特權LastPass命令的許可權——包括“明顯不好的命令”,例如“複製和填寫密碼(copypass、fillform等)”
LastPass在今天釋出的一篇短文中解釋說,這個問題與所有LastPass瀏覽器客戶端上的一個實驗性功能有關(Ormandy報告了多個漏洞,儘管該公司表示這些漏洞“基本相同”。)該公司在漏洞被公開披露之前釋出了一個修複程式,並表示使用者的更新應該自動應用。LastPass當前沒有要求使用者更新任何密碼。
該公司在部落格中說:“我們沒有跡象表明任何報告的漏洞是在野外被利用的,但目前我們正在進行徹底的審查以確認。”我們將很快提供更全面的事件摘要,以及我們社群需要瞭解的內容。”
這不是Ormandy第一次在LastPass中報告問題。去年,研究人員向該公司發送了一份關於“完全遠端妥協”的報告。在Twitter上,這一次他認為LastPass反應迅速。”“對@LastPass響應漏洞報告的速度印象深刻,”他寫道如果所有供應商都能做出這樣的反應就好了。”
...至少在紙面上是這樣。不幸的是,事情有時會出錯,正如LastPass目前發現的那樣。在經歷了幾周前的一次安全恐慌之後,LastPass現在又陷入了另一次恐慌之中。而這個看起來更難解決。 ...
...理器可供選擇,每個都有不同的優點和缺點。最流行的是LastPass。它擁有最多的使用者、最多的功能和最好的支援。 ...
...Unlock在全球擁有100多萬用戶。因此,有很多人正處於這種安全漏洞的危險之中。 ...
無論你走到哪裡,你都可能習慣於上網。不僅僅是**資料:大多數餐廳、酒店、機場和咖啡館都提供免費網際網路。 ...
...是隨著安全性的加強,擴充套件的能力也隨之增強。 你可能聽過“有一個應用程式可以做到這一點”這句話,而瀏覽器擴充套件也是如此。你可以用擴充套件做很多事情。你可以改變標籤的工作方式,整合你最喜歡的筆記服務...
...些瀏覽器擴充套件使用的許可權要少得多。 例如,它們可能只在您單擊瀏覽器擴充套件的按鈕時執行,這意味著在您單擊該按鈕之前,它們實際上無法檢視網頁上的任何內容。它們可能只在特定網站上執行例如,影響Gmail的瀏覽...
LastPass是密碼管理行業的老手。它的可靠性和易用性。但是LastPass的免費計劃不支援跨裝置同步。如果你正在尋找一個免費的LastPass替代品,Bitwarden可能是最好的選擇。這就是原因。 和上次相比,位元沃登是新來的。雖然LastPass...
表面上看,LastPass和Bitwarden非常相似。它們都是健壯的、基於伺服器的密碼管理器,具有很強的安全性。但在定價、跨裝置支援和透明度方面,他們採取了不同的方法。問題是,哪個適合你? 位元沃登更安全 說到基礎,Last...
LastPass提供了一個免費版本的密碼管理器,但一次只能使用一種裝置型別。如果你想切換密碼管理器,Bitwarden提供了一個免費的、開源的、沒有限制的服務。以下是如何將你的LastPass密碼轉移到Bitwarden。 為什麼從lastpass轉到bit...
如果你使用LastPass,你應該接受安全挑戰。它將掃描你的保險庫的洩露,弱,重用和舊密碼,並建議你應該更改密碼。LastPass也會給你一個數字安全分數。 其他密碼管理器也可能具有類似的功能。例如,1Password具有Watchtower功能...