圖片來源: 

LastPass

密碼管理程式LastPass周三(3/22)宣布已修補其可外洩密碼的瀏覽器擴充程式漏洞。

相關漏洞是由Google安全研究團隊Project Zero的Tavis Ormandy所揭露,主要影響各大桌面瀏覽器的LastPass擴充程式,並未波及Android或iOS上的LastPass行動程式。此外,LastPass的調查顯示,並未有使用者資料遭到危害或被竊,因此,使用者不必變更LastPass的主要密碼或是網站服務的憑證。

Ormandy向LastPass提出了兩個安全漏洞,分別是影響Firefox瀏覽器的LastPass 3.3.2版中的訊息劫持(message-hijacking)漏洞,以及同時影響Chrome、Firefox與Microsoft Edge的網站連結器(Website connector)漏洞。

其中,支援Firefox的LastPass 3.3.2擴充程式在URL解析程序出了問題,允許惡意網站偽裝成合法網站,並誘騙該程式提供該站的使用者憑證。LastPass已於上周釋出LastPass 3.3.4以修補該漏洞,同時提醒用戶將於今年4月讓LastPass 3.x版本退役,督促使用者儘快升級到LastPass 4.1.36。

至於影響Chrome、Firefox、Microsoft Edge與Opera的網站連結器漏洞則是出現在onboarding功能上,該功能允許使用者透過電子郵件設定密碼庫。

駭客攻陷該漏洞的手法同樣是引誘使用者造訪惡意網站,並讓LastPass誤以為該網站屬於合法網站並提供使用者的憑證,除了竊取憑證外,執行LastPass二元元件的LastPass用戶還可能遭到遠端程式攻擊,目前合計只有不到10%的LastPass用戶執行二元元件。

LastPass表示,在得知該漏洞之後,他們馬上關閉了onboarding服務並展開修補,現已更新Chrome及Firefox上的LastPass,Microsoft Edge與Opera上的LastPass更新程式仍在等待核准中。

為了保障使用者的憑證安全,LastPass建議使用者設立強大的LastPass主密碼,不要在不同的網路服務使用同樣的密碼,且不論是對LastPass或其他服務皆應採用雙因素認證機制。


Advertisement

更多 iThome相關內容