密码管理器LastPass的缺陷可以将控制权交给黑客
H&M加强了与1MW斯德哥尔摩数据中心建立的DataceRe热重用的承诺
法庭在商业宽带上击败了奥福姆裁决
将SEPSIS算法放入电子患者记录中
美国宇航局和GM手套给工人机器人手
Facebook完成其太阳能支气管互联网无人机的首次测试飞行
在英国的一半高技能欧盟工作人员正在考虑离开
DVLA试验亚马逊的Alexa for Mot和车辆税更新
ICO亮点挑战困难的工具为公共部门FOI请求合规
这个微小的设备可以感染销售点系统并解锁酒店客房
HPE发现:杂交将占据​​主导地位,内存计算到上升
Apple:Macos Sierra Public Beta今天可用
系统升级后,Experian承认移动和在线问题
超过一半的世界仍然离线
黑客在Cicis Pizza Chain上有130家餐厅
高光针对千兆宽带的200万房产
施奈尔:下一个总统可能面临着导致人们死亡的IoT Cyber​​attack
2016年浏览器选举:Chrome通过Landslide提供
TomTom和思科来解决自治车的实时通讯
长期运行的恶意运动每天感染了数千台电脑
对象存储将在网站和移动的无状态世界中“巨大”
布里斯托尔委员会将其光纤网络开放到商业运营商
Dropbox级别为管理员提供其功能
认识打开伦敦实验室,帮助客户进行数字化
索尼在游戏中做得很好,但智能手机业务缩小
谷歌的Deepmind A.I.可以斜线数据中心功率使用40%
MPS需求从HMRC过期托管服务网站问题
戴尔修补了SonicWALL全球管理系统的关键缺陷
对不起,孩子们,老人正在Snapchat进入
6'数据'流行语您需要了解
计算GCSE参赛作品同比增长9%
新的TOR-Powered Door Program Targets Macs
日本在里奥奥运会时代开始8K电视广播
超过40%的IT专业人士希望今年其他大选
6美元的设备可以闯入酒店房间和感染POS系统
特斯拉在致命崩溃后发射伦理指控
vbulletin附加信息数据库违约的缺陷导致ubuntu论坛
塔塔的水牛办公室,克林顿的'Brainchild,自封闭以来
企业软件开发人员继续在应用中使用有缺陷的代码
新门户网站新门户网站
IBM和Samsung实现了闪存杀手的突破性可穿戴设备,移动设备
Cisos在澳大利亚,新加坡关注云安全
Apple解锁了Pokemon Go的$ 3B业务
俄罗斯的初创公司和公司在启动村联系
基于SMS的双因素认证可能会出门
微软的Azure云收入加倍,但电话销售率垂直
保持澳大利亚的航空医疗服务与云相连
IR35改革:IT承包商填充了潜在的HMRC法律挑战的详细信息
阿联酋电信Etisalat飞行员5克
在良好的攻击中,政府的官方恐怖警惕为时已晚
您的位置:首页 >电子新闻 >

密码管理器LastPass的缺陷可以将控制权交给黑客

2021-07-13 16:43:52 [来源]:

甚至密码管理器Lastpass都可以被愚弄。谷歌安全研究员已经找到了一种远程劫持软件的方法。

它通过首先将用户诱发到恶意网站来工作。然后,该站点将在Firefox浏览器的LastPass加载项中利用缺陷,并控制您对密码管理软件的控制。

LastPass在周三写下了这个漏洞,并表示Firefox用户已经出局了。

Google安全研究Tavis Ormandy首次发现了这个问题。检查密码管理器时,他周二推文,“人们真的用这个rikepass吗?我快速看,可以看到一堆明显的关键问题。我“LL尽快发送报告”。

LastPass的任何漏洞都可能对用户带来大量风险。受欢迎的软件应该安全地存储和自动填充所有密码用户的不同网站。

Ormandy是唯一的安全研究员用密码管理器找到缺陷。星期三,侦查实验室的Mathias Karsson表示,他也设法了解Lastpass - 在这种情况下,窃取用户密码。

Karlsson在博客文章中写道,他通过利用密码管理器的Chrome浏览器扩展名器中的错误来完成。

通常,LastPass浏览器扩展将密码自动填充到用户访问的某些网站。然而,卡尔斯森注意到扩展为每个网​​站添加了一些HTML代码。此代码旨在解析网站的地址以识别域,然后填写所需的密码。

问题是可以欺骗HTML代码。即使在不访问正确的网站时,扩展名将自动填充用户的密码。

Karlsson利用了这个错误,并创建了一个假的URL,让LastPass浏览器扩展致以思考它正在访问推特。然后,延伸将Twitter密码自动填充到网站。

黑客可以通过建立恶意网站并欺骗用户来参观这一漏洞来利用这种缺陷。然后,该网站可以秘密收集密码。

卡尔斯森报道了一年前的错误,因为LastPass的说法,问题已经修复了。它指出,这两个漏洞都需要黑客欺骗用户参观恶意网站,以便他们工作。

该公司正向用户致力于手表,以便攻击能够向宇宙建立网站发送链接。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。