LastPass密码管理器曝出重大漏洞 请速升级你的Firefox附加组件

专注查找漏洞的一名安全研究人员,已经发现了知名在线密码管理器LastPass的一个潜在风险,攻击者可借此接触到用户的线上账户。万幸的是,LastPass已经修复了这个让攻击者远程访问数百万账户的所谓“零日漏洞”,据说用户在访问一个特定恶意站点时就会中招。The Register指出,白帽研究者Tavis Ormandy率先证实了这个问题。

  其实不止LastPass,任何云密码存储服务都有风险。

Ormandy在推文中写到,他已经向LastPass发去了完整的报告,接下去将继续为其竞争对手(1Password密码管理器)查找漏洞。

  Ormandy和LastPass均未透露有关该漏洞或报告的细节。

【更新】一名LastPass新闻发言人证实,该公司在审阅了Ormandy的报告后很快修复了该漏洞,在一篇博客文章中给出了说明并推荐用户更新。

博客文章证实Ormandy是谷歌安全团队的一名研究人员,这个‘消息注入bug’会影响LastPass的Firefox附加组件。

● 首先,攻击者需要成功引诱一名LastPass用户到某个恶意网站上。

● 然后,Ormandy演示了网站会在不被用户察觉的情况下执行LastPass操作(比如删除某些条目);

● 不过该问题已被彻底修复,并且向所有使用LastPass 4.0的Firefox用户推送了更新。

====================================分割线================================

本文转自d1net(转载)

时间: 2024-09-19 16:20:47

LastPass密码管理器曝出重大漏洞 请速升级你的Firefox附加组件的相关文章

小心你的密码管理器 LastPass曝出安全漏洞

今天,各种各样的金融账户.网络帐户.个人信息都需要用到密码,但对于大多数人来说,常用的密码十分有限,而且一旦使用长一些.复杂一些的新密码后,往往一段时间过后便被忘的一干二净.所以,目前有数以百万计的人依靠密码管理器来保存他们的密码,并帮助他们保障其各类网络帐户的安全.不过,密码管理器也不是万能的,近期一款流行的免费密码管理器--LastPass就被曝出了安全漏洞,使用它的用户需要多多注意了. 警惕密码管理器漏洞 上周,来自Google(谷歌)安全团队的研究人员Tavis Ormandy,发现了L

密码管理器反而导致密码泄露,LastPass扩展成罪魁祸首

3月22日讯 密码库LastPass已经对其高危安全漏洞进行修复,各恶意网站此前已经利用这些漏洞窃取到数百万条受害者密码内容. 密码管理器反而导致密码泄露,LastPass扩展成罪魁祸首-E安全 这项安全漏洞由一名来自谷歌Project Zero项目安全团队的白帽黑客Tavis Ormandy所发现.他通过研究指出,LastPass Chrome扩展中存在一个可利用的内容脚本,将导致恶意网页能够从该管理器内提取到密码内容. 谷歌Chrome插件LastPass的作用在于将用户的密码存储于云端.其

在线密码管理器LastPass遭入侵 官方建议修改主密码

LastPass致用户:请更改你的主密码,并立即启用双因素身份验证! 作为当前全球最热门的密码保管服务之一,LastPass公司周一警告称,攻击者攻破了运行公司密码管理服务的设备,并盗取了用户的受保护密码及其他敏感的数据.这是在过去四年中该服务器第二次发生数据泄露情况. LastPass用户数据泄露 LastPass CEO Joe Siegrist在博客中写道:总之,未知的攻击者获得了用户哈希密码.加密加盐.密码提示以及电子邮箱地址.他强调没有证据显示攻击者能够进入存放用户纯文本密码的地方.因

在线密码管理器LastPass被黑

本文讲的是 在线密码管理器LastPass被黑,在线密码管理器LastPass公司在上周五公布了其网络被黑事件,LastPass用户将会看到建议修改主密码的弹出框. 经过深入调查公司安全团队检测到的"可疑活动",LastPass公司在周一发布的一篇博客帖子中透露了此次遭受攻击事件.调查并未发现有任何迹象显示攻击者盗取了用户密码库中的加密数据,LastPass用户账户也并未被侵入者染指.即便如此,攻击者依然偷取了账户电子邮件地址.密码提示信息.用户服务器salt值和身份认真散列值. 后两

LastPass已采取措施阻止针对密码管理器的网页钓鱼攻击

安全研究员Sean Cassidy最近发现有针对热门密码管理器LastPass的钓鱼攻击,而这件事也已经引起了后者的注意.为了帮助减轻被钓鱼的风险,LastPass决定增加额外的步骤.Cassidy所说的"LostPass攻击",是指在浏览器上显示的LastPass信息很容易伪造,在将受害者引诱至一个精心编造的恶意站点后,终端用户很难分辨它们的真假. 如果用于已经安装了LastPass,那么攻击者就会伪造一个登录过期的通知,欺骗用户需要重登陆.然后,它只需要静静等待用户输入登录凭证.即

比LastPass、1Password更安全的密码管理器,Horcrux是怎么实现的?

本文讲的是比LastPass.1Password更安全的密码管理器,Horcrux是怎么实现的?, 弗吉尼亚大学的两位研究人员设计了一款新的密码管理器Horcrux,和现有密码管理器机制很是不同. 研究人员称Horcrux是密码管理器产品里的"偏执狂",因为它在安全.隐私以及处理用户密码上有独特的设计,相比LastPass和1Password等主流密码管理器要更可靠. 它们之间有两个主要区别. 虚拟表单 第一个是在网页插入用户账号密码的方式,现在的密码管理器都是直接填写. "

密码管理器的攻防博弈

作为一个会每天访问Freebuf网站的人,或者说是一个对信息安全感兴趣的人,肯定会知道一位用户所有的网络账号不应该都使用相同的密码,这也是一个最基本的安全常识.可是那然后呢? Clipboard Image.png 前言 那么为了让每一个账号都能拥有一个健壮的密码,你可能就需要用到密码管理器了.也许当你第一次使用密码管理器的时候,你心里会有些忐忑不安,毕竟你将所有的密码都放在了这一个地方,而你又可以跨设备跨平台地通过云端来同步自己的密码,这种便捷性肯定会让每一个用户对密码管理器的安全产生质疑.

谁是互联时代的最佳密码管理器?

  好像称赞KeePass Password Safe已经持续了好多年了,这是一款开源免费的存储软件,可以用来存储你网页中全部密码与相关笔记.你可以在不同的设备上同步你的KeePass,我们同样建议读者可以将其数据库存储到Dropbox中.不过我们最近十分好奇与KeePass相比,另一款著名的浏览器密码管理器LastPass作为一站式的解决方案,是否在使用上更高级一些.为此在这个月,我们邀请了两位试用者来进行一次针锋相对的测试. 第一轮对决:设置 KeePass是一款很直截了当的数据库.在选择你

二十余款Linksys路由器曝出安全漏洞,或可被远程控制

本文讲的是二十余款Linksys路由器曝出安全漏洞,或可被远程控制,近日,有研究人员透露,Linksys路由器中存在未修补的安全漏洞,这些漏洞将使数以千计的设备受到攻击. 周三,IOActive高级安全顾问Tao Sauvage以及独立安全研究员Antide Petit在一篇博文中说,去年底他们在20种目前广泛使用的路由器型号中发现了至少10个严重漏洞.这些漏洞从低危到高危都有,其中6个可被攻击者远程利用,2个漏洞能够让攻击者进行DoS攻击.通过发送一些请求或者滥用特定的API,路由器会停止服务