LastPass密码管理器中发现的严重漏洞

发表时间:2019-06-19

  Google安全研究人员发现流行密码管理器LastPass中的漏洞可能会使数百万服务用户的安全性受到威胁。虽然目前对漏洞的实际性质知之甚少,但Google Project Zero安全团队的Travis Ormandy提到了几条推文中的一个严重问题。

  “人们真的在使用这个LastPass吗?我快速浏览一下,可以看到一堆明显的关键问题。我会尽快发一份报告,“他在一条推文中说道。“发送给LastPass的完整报告,他们现在正在努力。是的,这是一个完全的远程妥协。是的,我保证我会看看1Password,“他在后来的推文中说道。

  目前尚不清楚LastPass的网络,浏览器扩展或移动应用程序中是否存在缺陷或缺陷。23144com香港,也没有证据表明野外网络犯罪分子正在利用漏洞。有一些报道称,该漏洞可能仅仅通过访问网站就可以让用户受到损害,尽管目前尚未证实这一点。但是,由于密码管理器为多个网站存储用户宝贵的登录详细信息(包括用户名和密码),因此该漏洞可能是黑客利润丰厚的目标。

  Ormandy以发现旨在保护我们免受黑客攻击的安全产品中的漏洞而闻名。他过去曾发现赛门铁克,Avast,Malwarebytes和卡巴斯基产品存在缺陷。Tenable Network Security的EMEA技术总监Gavin Millard表示,由于密码重用率大,普通用户创建强密码的能力差,以及我们应该记住的凭证数量很多,因此需要使用密码管理器。 。

  “密码管理人员并非没有问题,而LastPass本身在发现其他缺陷之前一直备受关注,”他说。“不幸的是,随着密码管理器的复杂性增加,通过云同步增加和支持多个设备的创新功能,将发现漏洞并不奇怪。我仍然是密码管理器的拥护者,普通人根本就没有我们也不应该保留许多复杂字符串的能力,香港买马免费资料,但在使用这些有用的工具时,我们必须意识到风险和收益,“他补充道。

  更新:LassPass的发言人在一份声明中说:“ 我们一如既往地感谢安全社区的工作,挑战我们的产品,确保为用户提供安全的服务。我们的团队直接与安全研究人员合作,验证报告快速制作并为LastPass用户发布修复程序。要应用修补程序,我们建议用户在其浏览器上更新LastPass。“