LastPass宣布它已发布更新,以修复其密码管理器浏览器扩展中最近的高严重性安全漏洞。来自“Project Zero”小组的Google最着名的安全研究人员之一Tavis Ormandy上个月发现了这个漏洞。Ormandy之前在LastPass密码管理器中发现了其他几个错误。
LastPass修复了其Password Manager浏览器扩展版本4.33.0中的错误。通常,浏览器扩展会自动更新,但如果您已禁用自动更新功能,则应自行手动更新密码管理器。LastPass表示它更新了所有扩展,但该缺陷应该只影响Chrome和Opera。
该错误被认为是危险和可利用的,因为它不依赖于用户交互。攻击者可以欺骗用户点击恶意网页,然后从之前访问过的网页中提取用户的凭据。LastPass具有允许其读取用户访问的所有网站上的数据的权限。
此功能对于浏览器密码管理器来说是必需的,尽管浏览器供应商可能会使用更具体的API来解决此问题,该API只有经过身份验证的密码管理器才能访问,而不会进行任
LastPass建议用户遵循一般最佳做法,例如:
谨防网络钓鱼攻击。不要点击您不认识的人的链接,也不要点击您信任的联系人和公司的特征。
始终为LastPass和其他服务(如银行,电子邮件,Twitter,Facebook等)启用MFA。添加其他身份验证层仍然是保护帐户的最有效方式。
切勿重复使用您的LastPass主密码,也不要将其透露给包括我们在内的任何人。
为每个在线帐户使用不同的唯一密码。
通过运行具有最新检测模式的防病毒软件并使您的软件保持最新,使您的计算机免受恶意软件攻击。
LastPass并不是唯一一个拥有安全漏洞的密码管理器,即使是高严重性的密码管理器,但它在各种安全问题的新闻中肯定会更频繁出现。尽管LastPass仍然是最受欢迎的密码管理器,但最好切换到开源密码管理器,如Bitwarden或KeePassXC。
