LastPass漏洞让黑客窃取你所有的密码

LastPass是最好的密码管理器之一，它还可以作为浏览器扩展自动为您填充凭据。

你只需要记住一个主密码就可以解锁你不同在线账户的所有其他密码，这样你就更容易在不同的网站上使用唯一的密码。
然而，密码管理器并不像它承诺的那样安全。

谷歌项目零黑客塔维斯·奥曼迪发现该软件存在几个安全问题，使他得以窃取LastPass存储的密码。

"人们真的在使用最后一次通行证吗？我快速看了一眼，发现了一系列明显的关键问题。我会尽快发送报告“奥曼迪在Twitter上透露。

一旦侵入受害者的LastPass帐户，黑客将能够访问受害者其他在线服务的密码宝库。

由于LastPass正在修复零日漏洞，研究人员尚未透露有关这些问题的技术细节。

LastPass密码管理器中的类似旧错误：

巧合的是，另一位安全研究人员Mathias Karlsson也宣布，他在LastPass中发现了一些问题，该公司已经解决了这些问题。

巧尽心思构建的URL足以完全控制其用户帐户。

正如卡尔森在今天发布的一篇博客文章中解释的那样，攻击者可以向受害者发送一个精心编制的URL，以便从他/她的金库中窃取密码。

此特定漏洞存在于LastPass浏览器扩展的自动填充功能中，用于解析URL的错误正则表达式允许攻击者欺骗目标域。

“通过浏览此URL：https://avlidienbrunn.se/@推特。com/@hehe。php浏览器会将当前域视为avlidienbrunn。而扩展会将其视为twitter。卡尔森解释道。

因此，通过滥用表单自动填充功能，黑客可以通过发送包含Facebook的POC URL来窃取受害者的Facebook密码。与受害者通话。

该公司已在一天内修补了这一特殊缺陷，卡尔森甚至获得了1000美元的漏洞赏金。

密码管理器中的问题确实令人担忧，但这并不意味着你应该停止使用密码管理器。密码管理器仍然鼓励您为每个站点使用独特而复杂的密码。

最新版本发布后，用户可以避免使用基于浏览器的密码管理器，转而使用离线版本，比如KeePass。

更新： LastPass has quickly patched the vulnerability reported by Tavis Ormandy and pushed an update with fix for all Firefox users using LastPass 4.

"最近的报告只影响Firefox用户。如果您是运行LastPass 4.0或更高版本的Firefox用户，则将通过浏览器推送更新，并在版本4.1.21a中进行修复。LastPass在一篇博客文章中说。