LastPass緊急修補會洩露用戶前一個登入網站密碼的漏洞

知名密碼管理服務LastPass被Google Project Zero揭露有漏洞，可洩露使用者上一個登入網站的密碼。LastPass已修補該項漏洞。

這項漏洞是由Google安全研究小組Project Zero研究員Tarvis Ormandy上月發現並通報Last Pass。它是出在瀏覽器擴充程式產生跳出視窗的過程中，在某些情況下，網站可藉由建立HTML iFrame連到LastPass的popupfilltab.html視窗，而非經由呼叫do_popupregister()函式的正常管道。某些情況下，這可能導致跳出視窗以最近造訪網站的密碼開啟，這表示只要利用一些點擊劫持手法，就會洩露前一個網站的登入憑證。

Ormandy並示範攻擊有多簡單，用戶若有LastPass瀏覽器擴充程式，攻擊者可傳送一個冒充Google Translate的惡意URL，用戶若不察之下點選該URL後，攻擊者即可抓出他前一個登入網站的帳號密碼。

本漏洞影響LastPass上周才釋出的4.33.0版，不過LastPass表示受影響的瀏覽器僅有Chrome和Opera瀏覽器。LastPass表示漏洞已經解決，用戶不用動作，LastPass瀏覽器擴充程式會自動更新。同時為以防萬一，該公司已經針對所有瀏覽器部署升級至4.33.4版。

LastPass並呼籲用戶啟動多因素驗證、安裝最新防毒程式，不要重覆使用LastPass主密碼，而且也不要多個線上帳號使用同一組密碼。

科技媒體也指出，雖然密碼管理服務容易成為攻擊焦點，但仍然有助於用戶使用強密碼，千萬不可因噎廢食。