原标题:LastPass修补密码外泄漏洞
图片来源:LastPass
密码管理程式LastPass周三(3/22)宣布已修补其可外洩密码的浏览器扩充程式漏洞。
相关漏洞是由Google安全研究团队Project Zero的Tavis Ormandy所揭露,主要影响各大桌面浏览器的LastPass扩充程式,并未波及Android或iOS上的LastPass行动程式。此外,LastPass的调查显示,并未有使用者资料遭到危害或被窃,因此,使用者不必变更LastPass的主要密码或是网站服务的凭证。
Ormandy向LastPass提出了两个安全漏洞,分别是影响Firefox浏览器的LastPass 3.3.2版中的讯息劫持(message-hijacking)漏洞,以及同时影响Chrome、Firefox与Microsoft Edge的网站连结器(Website connector)漏洞。
其中,支援Firefox的LastPass 3.3.2扩充程式在URL解析程序出了问题,允许恶意网站伪装成合法网站,并诱骗该程式提供该站的使用者凭证。LastPass已于上周释出LastPass 3.3.4以修补该漏洞,同时提醒用户将于今年4月让LastPass 3.x版本退役,督促使用者儘快升级到LastPass 4.1.36。
至于影响Chrome、Firefox、Microsoft Edge与Opera的网站连结器漏洞则是出现在onboarding功能上,该功能允许使用者透过电子邮件设定密码库。
骇客攻陷该漏洞的手法同样是引诱使用者造访恶意网站,并让LastPass误以为该网站属于合法网站并提供使用者的凭证,除了窃取凭证外,执行LastPass二元元件的LastPass用户还可能遭到远端程式攻击,目前合计只有不到10%的LastPass用户执行二元元件。
LastPass表示,在得知该漏洞之后,他们马上关闭了onboarding服务并展开修补,现已更新Chrome及Firefox上的LastPass,Microsoft Edge与Opera上的LastPass更新程式仍在等待核准中。
为了保障使用者的凭证安全,LastPass建议使用者设立强大的LastPass主密码,不要在不同的网路服务使用同样的密码,且不论是对LastPass或其他服务皆应採用双因素认证机制。
相关:
示意图,与新闻事件无关。 思科周一发布安全公告,公布自家高达318款网路交换机产品软体存在一款漏洞,能让CIA等外部骇客远端下指令执行恶意程式码取得控制权。目前该漏洞还没能修补。?思科明白指出,这项漏洞是该
进入新的一周,两大共享单车平台摩拜和ofo又开始了新的免费活动。近一个月,北京市各大共享单车平台持续“免费”,同时,用户在平台充值还可以享受到充返的优惠。共享单车烧钱仍在继续。现状:共享单车平台近期主打“
示意图,与新闻事件无关。 Linux团队近日修补了Linux kernel中一个已存在7年的老旧漏洞,该漏洞的风险等级为CVSS v3 7.8(最高是10),属于风险颇高的安全漏洞,允许骇客扩张权限或造成服务阻断。此一编号为CVE-20
中新网重庆3月16日电(王新星刘相琳)重庆一公司会计购买微型摄像头监控出纳工作,非法使用远程控制设备盗转公款251万。记者16日从重庆南岸警方获悉,被盗公款已被成功追回,作案嫌疑人已被拘。今年2月9日,重庆南岸区
高跟鞋是每个女生鞋柜中必备的鞋款之一,但长时间穿着的不适感,也让众多OL对高跟鞋又爱又恨,该在什么场合穿不同高度的高跟鞋?达人建议熟记“3、6、9”密码。打开女孩的鞋柜,高跟鞋不会只有一双,但到底该怎么选