3月22日訊 密碼庫LastPass已經對其高危安全漏洞進行修復,各惡意網站此前已經利用這些漏洞竊取到數百萬條受害者密碼內容。
這項安全漏洞由一名來自谷歌Project Zero項目安全團隊的白帽黑客Tavis Ormandy所發(fā)現。他通過研究指出,LastPass Chrome擴展中存在一個可利用的內容腳本,將導致惡意網頁能夠從該管理器內提取到密碼內容。
谷歌Chrome插件LastPass的作用在于將用戶的密碼存儲于云端。其提供的瀏覽器擴展能夠將您的LastPass帳戶相對接,并自動在您訪問常用站點時填充已保存的登錄信息。
然而,由于受到所發(fā)現安全漏洞的影響,如今用戶在瀏覽惡意網站時,其LastPass中的所保存的全部密碼內容亦將被對方所發(fā)現。由Ormandy發(fā)現的這一薄弱LastPass腳本可能被利用以訪問該管理器的內部數據。
另外,該腳本亦可被濫用以在受害者的計算機上執(zhí)行各類命令——Ormandy演示了如何通過打開網頁的方式運行計算器(calc.exe)。在這種情況下,惡意網站能夠借此將惡意軟件投放至訪客設備之上。受害者必須安裝有LastPass的二進制組件,方會受到這類攻擊的影響。
Ormandy在發(fā)表的bug報告中解釋稱,“這套腳本會將未經驗證的容器消息代理至該擴展。這顯然是一項錯誤。”
“這將允許對內部權限的LastPass RPC(即遠程過程調用)命令進行全面訪問。其中存在成百上千條內部LastPass RPC,但最糟糕的情況無疑是復制并填充密碼等條目(copypass與fillform等)。”
根據Ormandy的說明,利用這項漏洞只需要兩行簡單的JavaScript代碼:
1win = window.open("https://1min-ui-prod.service.lastpass.com/"); win.postMessage({}, "*");
LastPass對這一Chrome擴展問題給出的修復方案為直接禁用1min-ui-prod.service.lastpass.com。該密碼管理器的開發(fā)方已經在Ormandy于去年發(fā)現另一項漏洞后擁有了相關經驗——此前的這項漏洞可通過訪問錯誤網站破壞密碼內容。
LastPass公司聯(lián)合創(chuàng)始人兼副總裁喬·塞格里斯特在接受采訪時表示:
“我們對于安全社區(qū)挑戰(zhàn)我們的產品并發(fā)現其中需要改進的問題感到十分感激。我們已經在整個LastPass社區(qū)之內查閱了由Tavis Ormandy提供的報告,并確認這些安全漏洞已經得到修復。我們很早就已經收到了通知——我們的團隊直接與Tavis開展合作以驗證報告內容,并迅速發(fā)布了修復補丁。與往常一樣,我們建議用戶盡快將軟件更新至最新版本。”
接下來是火狐插件對于LastPass公司的軟件工程師們來說,這無疑是個繁忙的周末。就在上周末,Ormandy又發(fā)現了另一項LastPass安全漏洞,這一次其出現在火狐擴展當中。同樣的,惡意網頁可以利用此項漏洞從管理器內提取密碼。
為另一項LastPass安全漏洞編寫了對應的快速利用方案。此次受影響的版本僅為https://t.co/lGcefN9YXM (3.3.2), 相關報告仍在整理當中。 ¯\_(ツ)_/¯ pic.twitter.com/AgjASiQMfJ
— Tavis Ormandy (@taviso) 2017年3月16日
根據我們得到的消息,此項擴展bug也已經得到解決,但安全補丁需要在得到火狐開發(fā)商Mozilla公司的批準之后才會被推送給用戶。“該團隊已經開發(fā)出一項補丁以修復3.3.2版本,而這一更新版本目前正在接受Mozilla方面的審核,”LastPass公司發(fā)言人表示。她同時強調稱,該插件的3.x分支版本已經在進行逐步淘汰,人們應當盡早升級至4.x版本家族。
正如E安全以往曾反復強調,大家應對自己的密碼管理工具進行及時更新。與其它軟件一樣,密碼管理器同樣有可能帶來嚴重的安全隱患。
京公網安備 11010502049343號