LastPass Chrome和Firefox Extensions中的密码窃取缺陷

Tavis Ormandy是谷歌项目Zero Team的安全研究员，警告漏洞浏览器扩展，漏洞 - 如果一个人浏览到恶意网站 - 将允许恶意站点从密码管理器中窃取密码。

LastPass表示，它在其Chrome扩展中修补了漏洞，并表示它正在为Firefox附加组件的缺陷进行修复。

Ormandy最初表示，LastPass Bug影响了4.1.42 Chrome和Firefox浏览器扩展。他开发了一个运行Lastpass Chrome扩展的Windows框的工作漏洞，但是可以说它“可以在其他平台上工作。”在添加之前，他将详细信息发送到LastPass：

完全漏洞利用是两行JavaScript。#sigh¯/ _（ツ）_ /

“有很多RPCS [远程过程调用]，允许完全控制LastPass扩展，包括窃取密码，”Ormandy写道。他的错误报告解释说，存在数百个内部特权的LastPass RPC命令，但LastPass用户不会想要访问允许复制密码的RPC的错误演员。

如果安装了“二进制组件” - 它默认在Firefox和Internet Explorer中 - 然后Ormandy表示，“这甚至允许任意代码执行。”如果您不知道，远程代码执行（RCE）是一个关键漏洞，并且随着缺陷而且缺陷;你可以像魔鬼一样想到它 - 除非你是一个想要远程控制目标的电脑的坏人，那么它将是你的朋友。

如果您正在运行漏洞的LastPass浏览器扩展版本，则Ormandy验证概念演示将运行Windows Calculator。它似乎并不像火箭科学，掌握Windows计算器只在Windows上运行。尽管如此，在错误的报告中，Ormandy说谎最初告诉他“他们无法让我的利用来工作，但我检查了我的Apache访问日志，他们正在使用Mac。当然，Calc.exe不会出现在Mac上。“

LastPass首先提出了解决方法，但几个小时后宣布了安全问题已修复。详情将发表在公司的博客上，但在撰写本文时没有发布。

Ormandy没有透露细节，直到LastPass表示已经解决了Chrome扩展中的RCE漏洞。他希望LastPass解决了这个问题而不是刚刚删除DNS条目，或者在中间人攻击期间可以插入DNS响应。

几个小时后，Ormandy推文：

我在Lastpass 4.1.35（未被捕获）中找到了另一个错误，允许为任何域窃取密码。完整的报告将很快就是这样。

之后几个小时，LastPass推文，“我们知道对Firefox附加漏洞的报告。我们的安全正在调查和致力于发出修复。“

大约两周前，由于Mozilla计划从2017年底从其附加API转移到WebExtensions，计划退出LastPass 3.3.2 Firefox附加加载。3.3.2是Firefox最受欢迎的LastPass加载项，但它是由4月份的附加版本4.x取代。

这不是第一次保安研究人员，包括Ormandy，旨在瞄准rikens。如果您坚持LastPass，请确保您拥有最新的软件版本。有些人建议将其转储为不同的密码管理器，而其他专家则使用任何密码管理器说出比使用None更好，并在多个站点上重用相同的旧的可旧的可读取密码。