安全專家Ormandy再曝LastPass漏洞
責編:mhshi |2017-03-28 09:34:253月20日,Google Project Zero的研究專家Tavis Ormandy在LastPass瀏覽器擴展程序中發現了兩個遠程可執行代碼(RCE)漏洞。
LastPass團隊在推文中獲悉這個BUG之后,表示非常重視他所報告的內容,然后團隊表示在正式發布解決方案之前先提供了臨時的解決方案。美國東部時間3月22日下午2點49分鐘,面向Firefox和Chrome瀏覽器的擴展程序發布了包含補丁程序的新版本,而Opera和Edge瀏覽器的擴展程序目前還在審核狀態。隨后,LastPass團隊在私人博客上發布了關于本次BUG的完整報告。
3月25日,Tavis在推文中披露了另一個漏洞,影響4.1.43版本,是Google Chrome的最新版本。為此這款知名密碼管理軟件的團隊在3月20日發布的博文中再添加了一項聲明:
2017年3月25日(下午5點)更新:我們的團隊目前正在調查Tavis Ormandy報告的新問題,當我們掌握充足信息的時候我們將會在社區內進行公布。謝謝大家的支持。
今天,LastPass在社區更新帖子中明確,相關的修復補丁已經著手研制,上周末發現的客戶端漏洞可以被那些具備資深技術的攻擊者利用。在完全修復這個BUG之前,公司拒絕披露任何關于這個漏洞的詳細信息。