3月22日讯 密码库LastPass已经对其高危安全漏洞进行修复,各恶意网站此前已经利用这些漏洞窃取到数百万条受害者密码内容。
密码管理器反而导致密码泄露,LastPass扩展成罪魁祸首-E安全
这项安全漏洞由一名来自谷歌Project Zero项目安全团队的白帽黑客Tavis Ormandy所发现。他通过研究指出,LastPass Chrome扩展中存在一个可利用的内容脚本,将导致恶意网页能够从该管理器内提取到密码内容。
谷歌Chrome插件LastPass的作用在于将用户的密码存储于云端。其提供的浏览器扩展能够将您的LastPass帐户相对接,并自动在您访问常用站点时填充已保存的登录信息。
然而,由于受到所发现安全漏洞的影响,如今用户在浏览恶意网站时,其LastPass中的所保存的全部密码内容亦将被对方所发现。由Ormandy发现的这一薄弱LastPass脚本可能被利用以访问该管理器的内部数据。
另外,该脚本亦可被滥用以在受害者的计算机上执行各类命令——Ormandy演示了如何通过打开网页的方式运行计算器(calc.exe)。在这种情况下,恶意网站能够借此将恶意软件投放至访客设备之上。受害者必须安装有LastPass的二进制组件,方会受到这类攻击的影响。
密码管理器反而导致密码泄露,LastPass扩展成罪魁祸首 - E安全
Ormandy在发表的bug报告中解释称,“这套脚本会将未经验证的容器消息代理至该扩展。这显然是一项错误。”
“这将允许对内部权限的LastPass RPC(即远程过程调用)命令进行全面访问。其中存在成百上千条内部LastPass RPC,但最糟糕的情况无疑是复制并填充密码等条目(copypass与fillform等)。”
根据Ormandy的说明,利用这项漏洞只需要两行简单的JavaScript代码:
1win = window.open("https://1min-ui-prod.service.lastpass.com/"); win.postMessage({}, "*");
LastPass对这一Chrome扩展问题给出的修复方案为直接禁用1min-ui-prod.service.lastpass.com。该密码管理器的开发方已经在Ormandy于去年发现另一项漏洞后拥有了相关经验——此前的这项漏洞可通过访问错误网站破坏密码内容。
LastPass公司联合创始人兼副总裁乔·塞格里斯特在接受采访时表示:
“我们对于安全社区挑战我们的产品并发现其中需要改进的问题感到十分感激。我们已经在整个LastPass社区之内查阅了由Tavis Ormandy提供的报告,并确认这些安全漏洞已经得到修复。我们很早就已经收到了通知——我们的团队直接与Tavis开展合作以验证报告内容,并迅速发布了修复补丁。与往常一样,我们建议用户尽快将软件更新至最新版本。”
接下来是火狐插件对于LastPass公司的软件工程师们来说,这无疑是个繁忙的周末。就在上周末,Ormandy又发现了另一项LastPass安全漏洞,这一次其出现在火狐扩展当中。同样的,恶意网页可以利用此项漏洞从管理器内提取密码。
密码管理器反而导致密码泄露,LastPass扩展成罪魁祸首-E安全
为另一项LastPass安全漏洞编写了对应的快速利用方案。此次受影响的版本仅为https://t.co/lGcefN9YXM (3.3.2), 相关报告仍在整理当中。 ¯_(ツ)_/¯ pic.twitter.com/AgjASiQMfJ
— Tavis Ormandy (@taviso) 2017年3月16日
根据我们得到的消息,此项扩展bug也已经得到解决,但安全补丁需要在得到火狐开发商Mozilla公司的批准之后才会被推送给用户。“该团队已经开发出一项补丁以修复3.3.2版本,而这一更新版本目前正在接受Mozilla方面的审核,”LastPass公司发言人表示。她同时强调称,该插件的3.x分支版本已经在进行逐步淘汰,人们应当尽早升级至4.x版本家族。
正如E安全以往曾反复强调,大家应对自己的密码管理工具进行及时更新。与其它软件一样,密码管理器同样有可能带来严重的安全隐患。
本文转自d1net(转载)