LastPass受到密码窃取和代码执行漏洞的攻击

LastPass已经关闭了Chrome扩展上的一个远程代码执行漏洞，但据GoogleProjectZero研究员TavisOrmandy称，火狐扩展仍然存在问题，以及即将出现的另一个窃取密码漏洞的详细信息。

Ormandy在ProjectZero问题跟踪器中写道，可以向LastPass代理不受信任的消息。

“这允许完全访问内部特权LastPass RPC命令，”研究人员说。“有数以百计的内部LastPass RPC，但显然不好的是复制和填充密码(复制、填充等)。”

此外，如果用户安装了LastPass二进制组件，则系统容易受到远程代码执行的影响。

lastass通过在受影响的域上返回DNS错误解决了问题。该公司在Twitter上表示，将在未来的博客文章中提供有关这个问题的更多细节。

Ormandy写道：“希望他们已经取消了服务，而不仅仅是删除了DNS条目，或者MITM(中间的人)仍然可以插入正确的DNS响应。”

“(请注意，影响Firefox上的LastPass的第1188期并不是固定的，而且仍然有效)。”

在一份提高警惕的声明中，据Ormandy说，LastPass说他们不能让他的代码执行开发起作用，但是安全研究人员在他的代码中调用Windows计算器可执行文件，而LastPass则在Mac上检查代码。

他说：“当然，calc.exe不会出现在Mac电脑上。

几个小时后，奥曼迪说他在密码管理软件中发现了另一个漏洞。

他在推特上说：“我在LastPass4.1.35（未补丁）中发现了另一个bug，允许窃取任何域名的密码。“完整的报告将很快提交。”

过去，LastPass一直处于Ormandy的注视之下，研究人员之前发现了允许LastPass帐户发生远程妥协的bug。

“人们真的在使用这种LastPass的东西吗？”Ormandy在2016年7月表示。

Ormandy最近一直在研究网络浏览器扩展，今年早些时候，在Cisco WebEx Chrome扩展中发现了一个远程代码执行错误，以及一个自动安装的AdobeAcrobatChrome扩展，使其用户容易受到跨站点脚本攻击。Last Pass于2015年10月由LogMe In以1.1亿美元购买。