安全是密码管理软件的基石,在此基础上搭建的用户体验、功能等才能安稳。作为拥有 800 万用户的热门密码管理软件,LastPass 近日连续被曝光了两个零日漏洞,不过所幸的是目前并没有任何证据表明该漏洞被黑客利用,而且公司已经着手修复曝光的第二个问题。
本月 20 日,Google Project Zero 项目的白帽黑客 Tavis Ormandy 发现 LastPass Chrome 扩展中存在一个可利用的内容脚本,将导致恶意网页能够从该管理器内提取到密码内容。
然而,由于受到所发现安全漏洞的影响,如今用户在浏览恶意网站时,其 LastPass 中的所保存的全部密码内容亦将被对方所发现。由 Ormandy 发现的这一薄弱 LastPass 脚本可能被利用以访问该管理器的内部数据。
另外,该脚本亦可被滥用以在受害者的计算机上执行各类命令——Ormandy 演示了如何通过打开网页的方式运行计算器(calc.exe)。在这种情况下,恶意网站能够借此将恶意软件投放至访客设备之上。受害者必须安装有 LastPass 的二进制组件,方会受到这类攻击的影响。
美国东部时间 3 月 22 日下午 2 点 49 分钟,面向 Firefox 和 Chrome 浏览器的扩展程序发布了包含补丁程序的新版本,而 Opera 和 Edge 浏览器的扩展程序目前还在审核状态。随后,LastPass 团队在私人博客上发布了关于本次 BUG 的完整报告。
3 月 25 日,Tavis 在推文中披露了另一个漏洞,影响 4.1.43 版本,是 Google Chrome 的最新版本。为此这款知名密码管理软件的团队在 3 月 20 日发布的博文中再添加了一项声明:
2017 年 3 月 25 日(下午 5 点)更新:我们的团队目前正在调查 Tavis Ormandy 报告的新问题,当我们掌握充足信息的时候我们将会在社区内进行公布。谢谢大家的支持。