严重漏洞 两位安全研究人员分别发现了流行密码管理器 LastPass 中的漏洞。第一个是由 Detectify 的研究员 Mathias Karlsson 发现的。他在博客中写道,问题隐藏在负责解析 LastPass 运行页面的 URL 的 JavaScript 代码中。通过将用户引诱到像attacker-这样的地址,LastPass的URL解析功能会被欺骗,认为有问题的网站是twitter.com,而不是attacker-m。
由于 LastPass 具有自动填充功
该应用程序会使用用户的数据填写登录和密码表单。如果该网站的黑客运行自动破坏并将任何文本写入表单的 JavaScript 代码,他们就可以获取用户 印度尼西亚电报数据 的身份数据。卡尔森通知了 LastPass 开发人员,随后发布了应用程序的更新。
Google Project Zero 研究 严重漏洞 员 Tavis Ormandy 发现了另一个漏洞。该漏洞的详细信息尚未披露,但专家报告称,借助该漏洞,就像上例一样,如果受害者访问恶意网站,攻击者就可以完全访问受害者的密码。目前尚未发现利用此漏洞的攻击。
奥曼迪表示,LastPass 存在多个严重问题
可能允许攻击者完全访问用户帐户,从而访问其他网站上的用户帐户。因此,至少在问题解决之前,数百万用户都处于危险之中。 Ormandy 已 严重漏洞 经向 LastPass 开发人员提供了有关该问题的完整报告。
回想一下,去年 lastPass报告称其网络已 在印度,联盟营销是第二收入来源的可行选择。 被入侵。当时,调查没有发现任何证据表明 欧盟电话号码 攻击者能够从用户密码库中窃取加密数据或访问用户帐户。今年 1 月,独立研究员 Sean Cassidy发现LastPass 容易受到网络钓鱼攻击,可能会危及用户的主密码。