新闻
您现在的位置:首页 > 新闻 > 密码显示错误在LastPass扩展中快速修复
  • 从0到1,这些新锐品牌在抖音做对了什么?

    从0到1,这些新锐品牌在抖音做对了什么?

    发布时间:2021/06/22

    如今的食品饮料行业,新机会往往由新的玩家率先挖掘,他们中的佼佼者将成为行业中极具竞争力的年轻选手,我们称之为新锐品牌。 在漫天的战报中,我们很容易就能找到一个数据猛增的新锐品牌,但挖掘新锐品牌背后的...

  • Gislaved熊牌轮胎正式进入中国市场

    Gislaved熊牌轮胎正式进入中国市场

    发布时间:2021/04/24

    德国马牌轮胎亚太区产品总监Tolga MUTLU介绍Gislaved熊牌新品轮胎 大陆马牌轮胎(中国)有限公司宣布,拥有百年辉煌历史的轮胎品牌 — Gislaved熊牌轮胎正式进入中国市场,进一步夯实德国马牌在华“多品牌”战...

  • 麦当劳中国推出金菠萝雪芭

    麦当劳中国推出金菠萝雪芭

    发布时间:2021/04/23

    麦当劳中国推出首个雪芭类产品 麦当劳中国与国际知名水果品牌都乐首次合作,推出全新夏日新品 — 金菠萝雪芭,为夏日冰品市场增添了一个创新的美味轻食选择。 金菠萝雪芭是麦当劳中国的首个雪芭类产品,使用...

密码显示错误在LastPass扩展中快速修复

发布时间:2019/09/18 新闻 浏览次数:764

 
LastPass密码管理器扩展中的安全漏洞可能允许窃取上次用于登录网站的凭据。
谷歌Chrome和Opera网络浏览器可以利用这个漏洞,并且需要一些努力才能获得成功,因为目标需要经过几个步骤。
不是一件容易的事
Google安全工程师Tavis Ormandy发现攻击者可以为使用LastPass登录帐户并将其引导至加载了专门创建的iframe的受感染或恶意网站的用户创建有效的点击劫持方案。
在提交给LastPass的漏洞披露中,研究人员详细说明了技术方面以及后续点击劫持如何揭示受害者使用的最后凭证。
他解释说,如果所有行动都发生在同一个标​​签中,盗窃就会成功。通过将提示输入密码的弹出窗口置于iframe中,跳过验证链中的一个步骤,并且将泄漏当前选项卡的最后一个缓存值。
“这意味着通过一些点击劫持,您可以泄漏为当前选项卡登录的先前站点的凭据,”Ormandy在8月底的LastPass报告中解释道。
在修补了一段时间后,研究人员找到了一种在Google网站上自动化凭据泄漏的方法。虽然该方法可能不适用于所有网站,但Ormandy认为该错误具有较高的严重性。
研究人员指出,在LastPass中发现的其他问题可能会被攻击者利用。其中之一是由于缺乏对可信事件的检查而生成任意热键事件的可能性。
另一个问题是允许禁用多个安全检查,而第三个允许绕过几个与安全相关的验证。
LastPass扩展已更新
密码管理器的制造商承认了这个漏洞,周五他们发布了一份通知,宣布他们已经解决了这个漏洞。
该公司指出,“虽然由于该漏洞导致的任何潜在风险仅限于特定浏览器(Chrome和Opera),但作为预防措施,我们已将更新部署到所有浏览器。”该过程是自动进行的,因此用户无需采取任何措施。
LastPass用户的推荐最佳做法包括以下内容:
远离未知个人的联系
为支持该功能的所有服务启用多重身份验证(MFA)
不要重复使用或共享密码管理器的主密码
为每个在线帐户创建唯一密码
运行最新的防病毒解决方案,并在最新版本的计算机上保留软件

姓 名:
邮箱
留 言: