LastPass修補密碼外洩漏洞

密碼管理程式LastPass周三（3/22）宣布已修補其可外洩密碼的瀏覽器擴充程式漏洞。

相關漏洞是由Google安全研究團隊Project Zero的Tavis Ormandy所揭露，主要影響各大桌面瀏覽器的LastPass擴充程式，並未波及Android或iOS上的LastPass行動程式。此外，LastPass的調查顯示，並未有使用者資料遭到危害或被竊，因此，使用者不必變更LastPass的主要密碼或是網站服務的憑證。

Ormandy向LastPass提出了兩個安全漏洞，分別是影響Firefox瀏覽器的LastPass 3.3.2版中的訊息劫持（message-hijacking）漏洞，以及同時影響Chrome、Firefox與Microsoft Edge的網站連結器（Website connector）漏洞。

其中，支援Firefox的LastPass 3.3.2擴充程式在URL解析程序出了問題，允許惡意網站偽裝成合法網站，並誘騙該程式提供該站的使用者憑證。LastPass已於上周釋出LastPass 3.3.4以修補該漏洞，同時提醒用戶將於今年4月讓LastPass 3.x版本退役，督促使用者儘快升級到LastPass 4.1.36。

至於影響Chrome、Firefox、Microsoft Edge與Opera的網站連結器漏洞則是出現在onboarding功能上，該功能允許使用者透過電子郵件設定密碼庫。

駭客攻陷該漏洞的手法同樣是引誘使用者造訪惡意網站，並讓LastPass誤以為該網站屬於合法網站並提供使用者的憑證，除了竊取憑證外，執行LastPass二元元件的LastPass用戶還可能遭到遠端程式攻擊，目前合計只有不到10%的LastPass用戶執行二元元件。

LastPass表示，在得知該漏洞之後，他們馬上關閉了onboarding服務並展開修補，現已更新Chrome及Firefox上的LastPass，Microsoft Edge與Opera上的LastPass更新程式仍在等待核准中。

為了保障使用者的憑證安全，LastPass建議使用者設立強大的LastPass主密碼，不要在不同的網路服務使用同樣的密碼，且不論是對LastPass或其他服務皆應採用雙因素認證機制。