压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

Google Project Zero的安全專家Tavis Ormandy發(fā)現(xiàn)了幾個(gè)漏洞，在Chrome和Firefox擴(kuò)展中可以利用LastPass密碼管理器來(lái)竊取密碼。

專家也為這個(gè)缺陷編寫了PoC漏洞，并強(qiáng)調(diào)似乎只有一個(gè)已經(jīng)被LastPass打補(bǔ)丁了。

Ormandy首先在Firefox版本的LastPass擴(kuò)展（版本3.3.2）中發(fā)現(xiàn)了一個(gè)缺陷，他避免了以明顯的原因公開披露細(xì)節(jié)。 根據(jù)Google的披露政策，LastPass有90天的時(shí)間來(lái)解決這個(gè)問(wèn)題，然后由Project Zero專家將披露細(xì)節(jié)。

LastPass證實(shí)，安全團(tuán)隊(duì)已經(jīng)在努力解決這個(gè)錯(cuò)誤。

昨天，Ormandy報(bào)告了另一個(gè)影響了LastPass的Chrome和Firefox版本的漏洞。 研究人員解釋說(shuō)，該漏洞允許攻擊者竊取用戶密碼，如果二進(jìn)制組件被啟用，則通過(guò)遠(yuǎn)程調(diào)用（RPC）命令執(zhí)行任意代碼。

為了利用這個(gè)缺陷，攻擊者必須欺騙受害者去訪問(wèn)特制的網(wǎng)頁(yè)。

在這種情況下，LastPass會(huì)立即發(fā)布臨時(shí)修復(fù)程序，并在宣布完全修補(bǔ)服務(wù)器端的漏洞后立即發(fā)布。

Ormandy公開披露了漏洞的細(xì)節(jié)，包括概念驗(yàn)證碼（PoC）代碼。存在漏洞是由于網(wǎng)站Connector.js內(nèi)容腳本代理擴(kuò)展消息未經(jīng)身份驗(yàn)證。攻擊者可以利用它來(lái)訪問(wèn)內(nèi)部LastPass RPC命令。

專家寫道“因此，這允許完全訪問(wèn)內(nèi)部特權(quán)LastPass RPC命令。 有數(shù)百種內(nèi)部LastPass RPC，但復(fù)制和填寫密碼（copypass，fillform等）是明顯不好的。”“如果您安裝二進(jìn)制組件（https://lastpass.com/support.php?cmd=showfaq&id=5576），還可以使用”openattach“來(lái)運(yùn)行任意代碼。”

Ormandy還發(fā)現(xiàn)另一個(gè)漏洞可以被利用來(lái)竊取任何域的密碼。