99久久国产综合精品国_亚洲av日韩aⅴ电影_午夜福利在线电影_亚洲aⅤ色欲久久一区二区三区_91九色蝌蚪国产精品_亚洲av无码乱码在线观看四虎_4国产精品无码制服丝袜_亚洲Av成人五月天在线观看_牛牛成人永久免费视频_午夜福利在线资源


LastPass密碼管理器再曝嚴重漏洞,基于瀏覽器的密碼管理器還能用嗎?

沒有使用密碼軟件前,大家容易忘記密碼;使用密碼軟件后,大家“無奈地”泄露了所有密碼。LastPass,最受歡迎的密碼管理軟件之一,近日再次爆出安全漏洞。安全人員發(fā)現(xiàn)在 LastPass Chrome 和 Firefox 4.1.42 版本插件中存在三個漏洞,可能會導(dǎo)致用戶在使用該組件的過程中泄露密碼。

這幾個漏洞都是谷歌Project Zero團隊的安全研究人員Tavis Ormandy發(fā)現(xiàn)的。其中一個漏洞影響到LastPass的Chrome擴展,另外兩個則是針對Firefox的。Ormandy稱該擴展程序上有可利用的內(nèi)容腳本,允許攻擊者從管理器中提取密碼,還可以執(zhí)行受害者設(shè)備上的命令。

所有平臺都受影響

Chrome的LastPass插件漏洞可被利用攻擊用戶瀏覽器和LastPass云服務(wù)器之間的JS腳本。Ormandy解釋說:

“由于該漏洞的存在,要代理LastPass 4.1.42不受信任的信息是可行的。這個漏洞可讓網(wǎng)站訪問內(nèi)部高權(quán)限RPC(遠程過程調(diào)用)。有很多的PRC,可對LastPass擴展實現(xiàn)完整控制,包括密碼的竊取。如果你安裝了‘Binary Component’,甚至可以造成任意代碼執(zhí)行?!?/p>

Ormandy演示了如何通過該中間腳本在用戶設(shè)備上執(zhí)行代碼(PoC點擊這里),上圖即成功實現(xiàn)了Windows計算器的啟動。值得一提的是,該漏洞存在于所有操作系統(tǒng)中,并不只是Windows版Chrome。另外改一下PoC,在密碼復(fù)制并填充用戶名和密碼表單之前,就能竊取用戶密碼了。

在具體攻擊方式上,攻擊者可以在網(wǎng)站的JS腳本中放入惡意代碼,所以危險系數(shù)還是比較高的,攻擊成本卻比較低。LastPass發(fā)布推文稱已經(jīng)修復(fù)了Chrome插件的相關(guān)漏洞,還專門發(fā)了篇博文來詳述該問題。

Firefox也未能幸免

如上所述,F(xiàn)irefox的LastPass擴展也存在漏洞,僅影響3.3.2版本——這個版本的確也是LastPass最廣泛應(yīng)用的版本。和Chrome版一樣,攻擊者也可以通過隱藏在網(wǎng)站中的惡意JS代碼來發(fā)動攻擊,下圖復(fù)現(xiàn)了其中一個漏洞。

不過兩周前,LastPass就發(fā)布了新版Firefox插件,因為Firefox原本計劃拋棄舊有擴展API。漏洞的演示頁面在此。

基于瀏覽器的密碼管理擴展還能用嗎?

實際上,這已經(jīng)不是Ormandy首次在LastPass中發(fā)現(xiàn)高危漏洞了:

2016年7月,同樣是?LastPass瀏覽器擴展組件爆出漏洞,黑客可以通過誘導(dǎo)用戶點擊一個連接,然后竊取用戶的所有密碼;

2015年6月,LastPass 的服務(wù)器被黑客攻擊,并導(dǎo)致用戶所有加密數(shù)據(jù)被泄露,雖然泄露的不是明文數(shù)據(jù),但這些數(shù)據(jù)依舊有被破解的可能;

2014年,安全人員發(fā)現(xiàn) LastPass 的四個密碼管理漏洞;

LastPass也并非唯一被曝漏洞的密碼管理類應(yīng)用:Keeper、Dashlane甚至1Password都曾給予攻擊者機會竊取用戶賬戶密碼。基于瀏覽器的密碼管理擴展都存在類似的攻擊面,攻擊者只需要設(shè)計個惡意網(wǎng)站讓相應(yīng)用戶去訪問就能在用戶不知情的情況下竊取身份憑證信息。

使用這些瀏覽器密碼管理擴展插件,相當(dāng)于給了攻擊者一個API,通過JS或者DOM和用戶的密碼管理器做交互。其危險程度顯然比桌面應(yīng)用要大得多。

實際上,密碼管理器還是有其他選擇的,也完全不需要遭受通過JS直接訪問的風(fēng)險尷尬,比如直接用桌面密碼管理器。另外主流的瀏覽器本身都有設(shè)計得不錯的內(nèi)置密碼管理器,也很易于使用,另外還能和移動端同步。

或者你也可以選擇將密碼放在本地,然后進行加密。如果攻擊者想要獲得密碼首先要獲得你計算機的用戶權(quán)限,然后在你解密文件的時候查看密碼,這對攻擊者來說難度不小。

來源:FreeBuf.COM

原文地址:http://www.freebuf.com/news/130073.html

上一篇
下一篇

聯(lián)系我們:cert@chaosec.com