吳明宜Google Project Zero 研究人員 Travis Ormandy 近日發現,連知名密碼管理軟體 LastPass 都存在重大安全瑕疵。這個瑕疵可能讓駭客竊走密碼及身份資料。
一開始只有 LastPass 3.3.2 版被通報有臭蟲。 Ormandy 之前都未揭露他的發現,而且 LastPass 團隊好像現在也正在開發修補程式。但事情還沒結束。在 LastPass 宣佈修補完後後,Ormandy 又發現另一個重大瑕疵。
We are aware of the report by @taviso and our team has put a workaround in place while we work on a resolution. Stay tuned for updates.
— LastPass (@LastPass) 2017 年 3 月 21 日
Ormandy 指出,在最新的 LastPass 4.1.42 版(Firefox 及 Chrome 適用)的漏洞可讓駭客竊走用戶密碼。
We are aware of the report by @taviso and our team has put a workaround in place while we work on a resolution. Stay tuned for updates.
— LastPass (@LastPass) 2017 年 3 月 21 日
We are aware of reports of a Firefox add-on vulnerability. Our security is investigating and working on issuing a fix.
— LastPass (@LastPass) 2017 年 3 月 22 日
根據 Google Project Zero 的發現,這項漏洞非常嚴重,它允許駭客竊取任何網域的用戶密碼,而如果受害者裝置安裝的是這個擴充程式的二進位版,駭客為禍將更厲害。駭客可以下指令開採漏洞以執行程式碼。
Ormandy 後來公開了這個漏洞詳情,分享概念驗證 (Proof of Concept) 攻擊,說明這個漏洞是受 websiteConnector.js 內容腳本程式觸發。駭客向 LastPass 送出未經驗證的訊息後就能利用這個腳本程式進行攻擊,藉此執行任意程式碼或竊取密碼。
LastPass 工程師 Lauren VanDam 在其部落格寫道,這些漏洞的修補程式已經發送給所有用戶,大部份的人都能自動獲得更新。此外,VanDam 也表示目前公司沒有發現任何漏洞攻擊的情況。
Source: latesthackingnews