上周,流行密码管理器 LastPass 的开发人员发布了一个更新,修复了一个可能导致用户数据泄露的漏洞。 该问题在解决后发布,并建议 LastPass 用户将其密码管理器更新到最新版本。
我们正在讨论的漏洞可能被攻击者用来窃取用户在上次访问的网站上输入的数据。 这个问题是由谷歌“零计划”项目成员塔维斯·奥曼迪上个月发现的,该项目在信息安全领域进行研究。
LastPass 是目前最流行的密码管理器。 开发人员在 4.33.0 版本中修复了前面提到的漏洞,该版本于 12 月 XNUMX 日公开发布。 如果用户不使用LastPass的自动更新功能,建议用户手动下载最新版本的软件。 这需要尽快完成,因为修复漏洞后,研究人员公布了其详细信息,攻击者可以利用这些详细信息从尚未更新应用程序的设备上窃取密码。
利用该漏洞涉及在目标设备上执行恶意 JavaScript 代码,无需任何用户交互。 攻击者可以引诱用户访问恶意站点,以窃取密码管理器中存储的凭据。 Tavis Ormandy 认为利用该漏洞非常简单,因为攻击者可以伪装恶意链接,诱骗用户点击它来窃取在前一个站点上输入的凭据。
LastPass 代表不对这种情况发表评论。 目前,尚无攻击者利用此漏洞的已知案例。
来源: 3dnews.ru