压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

Google Project Zero的安全專家Tavis Ormandy發現了幾個漏洞，在Chrome和Firefox擴展中可以利用LastPass密碼管理器來竊取密碼。

專家也為這個缺陷編寫了PoC漏洞，并強調似乎只有一個已經被LastPass打補丁了。

Ormandy首先在Firefox版本的LastPass擴展（版本3.3.2）中發現了一個缺陷，他避免了以明顯的原因公開披露細節。 根據Google的披露政策，LastPass有90天的時間來解決這個問題，然后由Project Zero專家將披露細節。

LastPass證實，安全團隊已經在努力解決這個錯誤。

昨天，Ormandy報告了另一個影響了LastPass的Chrome和Firefox版本的漏洞。 研究人員解釋說，該漏洞允許攻擊者竊取用戶密碼，如果二進制組件被啟用，則通過遠程調用（RPC）命令執行任意代碼。

為了利用這個缺陷，攻擊者必須欺騙受害者去訪問特制的網頁。

在這種情況下，LastPass會立即發布臨時修復程序，并在宣布完全修補服務器端的漏洞后立即發布。

Ormandy公開披露了漏洞的細節，包括概念驗證碼（PoC）代碼。存在漏洞是由于網站Connector.js內容腳本代理擴展消息未經身份驗證。攻擊者可以利用它來訪問內部LastPass RPC命令。

專家寫道“因此，這允許完全訪問內部特權LastPass RPC命令。 有數百種內部LastPass RPC，但復制和填寫密碼（copypass，fillform等）是明顯不好的?！薄叭绻惭b二進制組件（https://lastpass.com/support.php?cmd=showfaq&id=5576），還可以使用”openattach“來運行任意代碼。”

Ormandy還發現另一個漏洞可以被利用來竊取任何域的密碼。