目录:
最受欢迎的密码管理员之一LastPass在浏览器扩展方面面临严重问题,因为过去一周该服务暴露了多个漏洞,并且它们仍然存在。
技术不断发展,虽然它的目的是为了改善我们的生活方式,但有时它甚至会在某些漏洞被利用的情况下造成破坏,特别是当涉及到负责保护数千万密码的LastPass等服务时。
上周,3月20日,谷歌Project Zero的研究员Tavis Ormandy发现了LastPass浏览器扩展中的两个漏洞,这些漏洞使用户容易受到远程代码执行的攻击。泄露的漏洞影响了该服务的业务和个人用户。
过去一周暴露的漏洞?
3月20日: Tavis Ormandy发现两个影响LastPass浏览器扩展的远程执行代码(RCE)漏洞 - 可能使攻击者窃取密码。
哎呀,影响4.1.42(Chrome&FF)的新LastPass错误。 RCE如果你使用“二进制组件”,否则可以窃取pwds。 关于途径的完整报告。 pic.twitter.com/y92vm3Ibxd
- Tavis Ormandy(@taviso)2017年3月20日
3月21日: LastPass承认Ormandy的报告,并确认存在漏洞,他们的团队将努力解决这些漏洞。
我们知道@taviso的报告,我们的团队在制定解决方案时已经采取了解决方法。 请继续关注更新。
- LastPass(@LastPass)2017年3月21日
3月22日:该公司宣布他们已发布新版Chrome(v 4.1.43)和Firefox(v 4.1.36)浏览器扩展,并附带安全更新。
他们还提到在此期间没有数据泄露,用户无需担心更改凭据。 Microsoft Edge和Opera浏览器扩展的更新版本将在公司批准之前发布。
3月25日: Tavis Ormandy发现了Google Chrome浏览器扩展程序更新版本(v 4.1.43)所面临的另一个漏洞。 LastPass承认3月22日公告更新中的漏洞。
啊哈,我今天早上洗澡时顿悟,并意识到如何在LastPass 4.1.43中获得codeexec。 在途中完整报告和利用。 pic.twitter.com/vQn20D9VCy
- Tavis Ormandy(@taviso)2017年3月25日
3月27日: LastPass发表声明,“我们没有积极解决这个漏洞。 这种攻击是独一无二的,非常复杂。 我们不想披露任何有关漏洞或我们的解决方案的具体内容,这些漏洞或解决方案可以向不太复杂但邪恶的派对揭示任何内容。“
如何保持安全?
目前,LastPass已经确认它正在努力解决其服务的安全问题,并且可以很快完成全面修复。 与此同时,建议LastPass用户注意以下注意事项。
- 为了保护他们的登录凭据,建议用户在此期间禁用浏览器扩展,并直接从LastPass Vault启动网站,直到公司解决漏洞为止。
- 为提供该选项的所有帐户启用双因素身份验证,为您的帐户增加一层安全性,以防攻击者利用此漏洞。
- 请留意网络钓鱼攻击。 不要点击不受信任来源的链接 - 您不认识的人
信用卡扫描和盗窃诈骗 - 如何保持安全
这篇文章看看信用卡扫描和盗窃欺诈,使用的设备以及如何保持安全。还解释了ATM撇取,假冒针垫等。
Falseguide恶意软件攻击了200万台Android设备:如何保持安全
Google Play商店中的游戏指南应用程序中发现了一种新的恶意软件,该应用程序感染了超过200万台Android设备。 这是如何保持安全。
英特尔系统容易受到远程访问:如何保持安全?
英特尔透露,他们的一些系统很容易受到黑客的远程攻击。 以下是该公司处理更新时如何保持安全。