知名密码管理服务LastPass被Google Project Zero披露有漏洞,可泄露用户上一个登录网站的密码。LastPass已修补该项漏洞。
这项漏洞是由Google安全研究小组Project Zero研究员Tarvis Ormandy上月发现并通报Last Pass。它是出在浏览器扩展程序产生跳出窗口的过程中,在某些情况下,网站可借由创建HTML iFrame连到LastPass的popupfilltab.html窗口,而非经由调用do_popupregister()函数的正常渠道。某些情况下,这可能导致跳出窗口以最近访问网站的密码打开,这表示只要利用一些点击劫持手法,就会泄露前一个网站的登录凭证。
Ormandy并示范攻击有多简单,用户若有LastPass浏览器扩展程序,攻击者可发送一个冒充Google Translate的恶意URL,用户若不察之下点击该URL后,攻击者即可抓出他前一个登录网站的账号密码。
本漏洞影响LastPass上周才发布的4.33.0版,不过LastPass表示受影响的浏览器仅有Chrome和Opera浏览器。LastPass表示漏洞已经解决,用户不用动作,LastPass浏览器扩展程序会自动更新。同时为以防万一,该公司已经针对所有浏览器部署升级至4.33.4版。
LastPass并呼吁用户启动多因素验证、安装最新杀毒程序,不要重复使用LastPass主密码,而且也不要多个线上账号使用同一组密码。
科技媒体也指出,虽然密码管理服务容易成为攻击焦点,但仍然有助于用户使用强密码,千万不可因噎废食。