LastPass中的漏洞允许攻击者窃取密码

LastPass中的漏洞允许攻击者窃取密码

黑客教程访客2021-10-11 20:28:008254A+A-

Google Project Zero的安全专家Tavis Ormandy发现了几个漏洞,在Chrome和Firefox扩展中可以利用LastPass密码管理器来窃取密码。

专家也为这个缺陷编写了PoC漏洞,并强调似乎只有一个已经被LastPass打补丁了。

Ormandy首先在Firefox版本的LastPass扩展(版本3.3.2)中发现了一个缺陷,他避免了以明显的原因公开披露细节。 根据Google的披露政策,LastPass有90天的时间来解决这个问题,然后由Project Zero专家将披露细节。

LastPass证实,安全团队已经在努力解决这个错误。

昨天,Ormandy报告了另一个影响了LastPass的Chrome和Firefox版本的漏洞。 研究人员解释说,该漏洞允许攻击者窃取用户密码,如果二进制组件被启用,则通过远程调用(RPC)命令执行任意代码。

为了利用这个缺陷,攻击者必须欺骗受害者去访问特制的网页。

在这种情况下,LastPass会立即发布临时修复程序,并在宣布完全修补服务器端的漏洞后立即发布。

Ormandy公开披露了漏洞的细节,包括概念验证码(PoC)代码。存在漏洞是由于网站Connector.js内容脚本代理扩展消息未经身份验证。攻击者可以利用它来访问内部LastPass RPC命令。

专家写道“因此,这允许完全访问内部特权LastPass RPC命令。 有数百种内部LastPass RPC,但复制和填写密码(copypass,fillform等)是明显不好的。”“如果您安装二进制组件(https://lastpass.com/support.php?cmd=showfaq&id=5576),还可以使用”openattach“来运行任意代码。”

Ormandy还发现另一个漏洞可以被利用来窃取任何域的密码。

点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 4条评论
  • 美咩嘟醉2022-06-03 21:33:04
  • Pass证实,安全团队已经在努力解决这个错误。昨天,Ormandy报告了另一个影响了LastPass的Chrome和Firefox版本的漏洞。 研究人员解释说,该漏洞允许攻击者窃取用户密码,如果二进制组件被启用,则通过远程调用(RPC)命令执行任意代码。为了
  • 酒奴夙月2022-06-04 01:17:31
  • Google Project Zero的安全专家Tavis Ormandy发现了几个漏洞,在Chrome和Firefox扩展中可以利用LastPass密码管理器来窃取密码。专家也为这个缺陷编写了PoC漏洞,并强调似乎只有一
  • 鸽吻梦冥2022-06-03 20:55:16
  • 已经被LastPass打补丁了。Ormandy首先在Firefox版本的LastPass扩展(版本3.3.2)中发现了一个缺陷,他避免了以明显的原因公开披露细节。 根据Google的披露政策,LastPass有90天的时间来
  • 鹿岛羁客2022-06-03 23:27:28
  • Google Project Zero的安全专家Tavis Ormandy发现了几个漏洞,在Chrome和Firefox扩展中可以利用LastPass密码管理器来窃取密码

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理