PingWest 品玩 4 月 1 日報導, 密碼管理器 LastPass 釋出了緊急安全更新修復 Google Project Zero 研究員 Tavis Ormandy 3 月 25 日報告的漏洞, LastPass 建議用戶儘快升級到 4.1.44 以上的版本。
3月20日, Tavis Ormandy 發現 LastPass Chrome 擴展中存在一個可利用的內容腳本, 將導致惡意網頁能夠從該管理器內提取到密碼內容。 用戶在流覽惡意網站時, 其 LastPass 中的所保存的全部密碼內容亦將被對方所發現。 3月22日, LastPass 發佈了包含補丁程式的新版本, 修復了該漏洞。 3月25日, Tavis又發現了另一個漏洞, 影響 LastPass Chrome 擴展程式的 4.1.43 版本, 使用者的密碼存在被竊取的風險。
LastPass 在官方博客上解釋了漏洞的細節, 稱它是一個 DOM(Document Object Model)操作漏洞, 允許惡意網站遠端執行代碼。
新聞線索請投稿至:wire@pingwest.com