LastPass中的漏洞允许攻击者窃取密码

Google Project Zero的安全专家Tavis Ormandy发现了几个漏洞,在Chrome和Firefox扩展中可以利用LastPass密码管理器来窃取密码。

专家也为这个缺陷编写了PoC漏洞,并强调似乎只有一个已经被LastPass打补丁了。

Ormandy首先在Firefox版本的LastPass扩展(版本3.3.2)中发现了一个缺陷,他避免了以明显的原因公开披露细节。 根据Google的披露政策,LastPass有90天的时间来解决这个问题,然后由Project Zero专家将披露细节。

LastPass证实,安全团队已经在努力解决这个错误。

昨天,Ormandy报告了另一个影响了LastPass的Chrome和Firefox版本的漏洞。 研究人员解释说,该漏洞允许攻击者窃取用户密码,如果二进制组件被启用,则通过远程调用(RPC)命令执行任意代码。

为了利用这个缺陷,攻击者必须欺骗受害者去访问特制的网页。

在这种情况下,LastPass会立即发布临时修复程序,并在宣布完全修补服务器端的漏洞后立即发布。

Ormandy公开披露了漏洞的细节,包括概念验证码(PoC)代码。存在漏洞是由于网站Connector.js内容脚本代理扩展消息未经身份验证。攻击者可以利用它来访问内部LastPass RPC命令。

专家写道“因此,这允许完全访问内部特权LastPass RPC命令。 有数百种内部LastPass RPC,但复制和填写密码(copypass,fillform等)是明显不好的。”“如果您安装二进制组件(https://lastpass.com/support.php?cmd=showfaq&id=5576),还可以使用”openattach“来运行任意代码。”

Ormandy还发现另一个漏洞可以被利用来窃取任何域的密码。

上一篇:微软总裁:“我们不会帮助任何政府黑客攻击任何客户”

下一篇:第二届中国汽车网络信息安全峰会于2月上海成功召开