专注查找漏洞的一名安全研究人员,已经发现了知名在线密码管理器LastPass的一个潜在风险,攻击者可借此接触到用户的线上账户。万幸的是,LastPass已经修复了这个让攻击者远程访问数百万账户的所谓“零日漏洞”,据说用户在访问一个特定恶意站点时就会中招。The Register指出,白帽研究者Tavis Ormandy率先证实了这个问题。
其实不止LastPass,任何云密码存储服务都有风险。
Ormandy在推文中写到,他已经向LastPass发去了完整的报告,接下去将继续为其竞争对手(1Password密码管理器)查找漏洞。
Ormandy和LastPass均未透露有关该漏洞或报告的细节。
【更新】一名LastPass新闻发言人证实,该公司在审阅了Ormandy的报告后很快修复了该漏洞,在一篇博客文章中给出了说明并推荐用户更新。
博客文章证实Ormandy是谷歌安全团队的一名研究人员,这个‘消息注入bug’会影响LastPass的Firefox附加组件。
● 首先,攻击者需要成功引诱一名LastPass用户到某个恶意网站上。
● 然后,Ormandy演示了网站会在不被用户察觉的情况下执行LastPass操作(比如删除某些条目);
● 不过该问题已被彻底修复,并且向所有使用LastPass 4.0的Firefox用户推送了更新。
[编译自:Cnet]