上週,熱門密碼管理器 LastPass 的開發人員發布了一個更新,修復了一個可能導致用戶資料外洩的漏洞。 該問題在解決後發布,並建議 LastPass 用戶將其密碼管理器更新至最新版本。
我們正在討論的漏洞可能被攻擊者用來竊取使用者在上次造訪的網站上輸入的資料。 這個問題是由Google「零計畫」計畫成員塔維斯·奧曼迪上個月發現的,該計畫在資訊安全領域進行研究。
LastPass 是目前最受歡迎的密碼管理器。 開發人員在 4.33.0 版本中修復了前面提到的漏洞,該版本於 12 月 XNUMX 日公開發布。 如果用戶不使用LastPass的自動更新功能,建議用戶手動下載最新版本的軟體。 這需要盡快完成,因為修復漏洞後,研究人員公佈了其詳細信息,攻擊者可以利用這些詳細信息從尚未更新應用程式的設備上竊取密碼。
利用該漏洞涉及在目標裝置上執行惡意 JavaScript 程式碼,無需任何使用者互動。 攻擊者可以引誘使用者存取惡意站點,以竊取密碼管理器中儲存的憑證。 Tavis Ormandy 認為利用該漏洞非常簡單,因為攻擊者可以偽裝惡意鏈接,誘騙用戶點擊它來竊取在前一個站點上輸入的憑證。
LastPass 代表不會對此情況發表評論。 目前,尚無攻擊者利用此漏洞的已知案例。
來源: 3dnews.ru