LastPass中的漏洞允许攻击者窃取密码

Google Project Zero的安全专家Tavis Ormandy发现了几个漏洞，在Chrome和Firefox扩展中可以利用LastPass密码管理器来窃取密码。

专家也为这个缺陷编写了PoC漏洞，并强调似乎只有一个已经被LastPass打补丁了。

Ormandy首先在Firefox版本的LastPass扩展（版本3.3.2）中发现了一个缺陷，他避免了以明显的原因公开披露细节。 根据Google的披露政策，LastPass有90天的时间来解决这个问题，然后由Project Zero专家将披露细节。

LastPass证实，安全团队已经在努力解决这个错误。

昨天，Ormandy报告了另一个影响了LastPass的Chrome和Firefox版本的漏洞。 研究人员解释说，该漏洞允许攻击者窃取用户密码，如果二进制组件被启用，则通过远程调用（RPC）命令执行任意代码。

为了利用这个缺陷，攻击者必须欺骗受害者去访问特制的网页。

在这种情况下，LastPass会立即发布临时修复程序，并在宣布完全修补服务器端的漏洞后立即发布。

Ormandy公开披露了漏洞的细节，包括概念验证码（PoC）代码。存在漏洞是由于网站Connector.js内容脚本代理扩展消息未经身份验证。攻击者可以利用它来访问内部LastPass RPC命令。

专家写道“因此，这允许完全访问内部特权LastPass RPC命令。 有数百种内部LastPass RPC，但复制和填写密码（copypass，fillform等）是明显不好的。”“如果您安装二进制组件（https://lastpass.com/support.php?cmd=showfaq&id=5576），还可以使用”openattach“来运行任意代码。”

Ormandy还发现另一个漏洞可以被利用来窃取任何域的密码。