硬件和软件作为科技的重要载体,每次的进步都能让我们的生活变得更加美好,但这并不意味着已经完美。BUG 是每款产品绕不开的话题,尽管制造了很多的麻烦,但通过一次次的修复从而让自己更趋于完美。3 月 20 日,Google Project Zero 的研究专家 Tavis Ormandy 在 LastPass 浏览器扩展程序中发现了两个远程可执行代码(RCE)漏洞。
LastPass 团队在推文中获悉这个 BUG 之后,表示非常重视他所报告的内容,然后团队表示在正式发布解决方案之前先提供了临时的解决方案。美国东部时间 3 月 22 日下午 2 点 49 分钟,面向 Firefox 和 Chrome 浏览器的扩展程序发布了包含补丁程序的新版本,而 Opera 和 Edge 浏览器的扩展程序目前还在审核状态。随后,LastPass 团队在私人博客上发布了关于本次 BUG 的完整报告。
3 月 25 日,Tavis 在推文中披露了另一个漏洞,影响 4.1.43 版本,是 Google Chrome 的最新版本。为此这款知名密码管理软件的团队在 3 月 20 日发布的博文中再添加了一项声明:
2017 年 3 月 25 日(下午 5 点)更新:我们的团队目前正在调查 Tavis Ormandy 报告的新问题,当我们掌握充足信息的时候我们将会在社区内进行公布。谢谢大家的支持。
今天,LastPass 在社区更新帖子中明确,相关的修复补丁已经着手研制,上周末发现的客户端漏洞可以被那些具备资深技术的攻击者利用。在完全修复这个 BUG 之前,公司拒绝披露任何关于这个漏洞的详细信息。