知名密碼管理服務LastPass被Google Project Zero揭露有漏洞,可洩露使用者上一個登入網站的密碼。LastPass已修補該項漏洞

這項漏洞是由Google安全研究小組Project Zero研究員Tarvis Ormandy上月發現並通報Last Pass。它是出在瀏覽器擴充程式產生跳出視窗的過程中,在某些情況下,網站可藉由建立HTML iFrame連到LastPass的popupfilltab.html視窗,而非經由呼叫do_popupregister()函式的正常管道。某些情況下,這可能導致跳出視窗以最近造訪網站的密碼開啟,這表示只要利用一些點擊劫持手法,就會洩露前一個網站的登入憑證。

Ormandy並示範攻擊有多簡單,用戶若有LastPass瀏覽器擴充程式,攻擊者可傳送一個冒充Google Translate的惡意URL,用戶若不察之下點選該URL後,攻擊者即可抓出他前一個登入網站的帳號密碼。

本漏洞影響LastPass上周才釋出的4.33.0版,不過LastPass表示受影響的瀏覽器僅有Chrome和Opera瀏覽器。LastPass表示漏洞已經解決,用戶不用動作,LastPass瀏覽器擴充程式會自動更新。同時為以防萬一,該公司已經針對所有瀏覽器部署升級至4.33.4版

LastPass並呼籲用戶啟動多因素驗證、安裝最新防毒程式,不要重覆使用LastPass主密碼,而且也不要多個線上帳號使用同一組密碼。

科技媒體也指出,雖然密碼管理服務容易成為攻擊焦點,但仍然有助於用戶使用強密碼,千萬不可因噎廢食。


Advertisement

更多 iThome相關內容