LastPass 近日「零日漏洞」的解釋

谷歌安全團隊的研究人員Ormandy發現了知名在線密碼管理器LastPass的一個潛在風險，攻擊者可藉此接觸到用戶的線上賬戶。 這個『消息注入bug』會影響LastPass的Firefox附加組件。

• 攻擊者需要成功引誘一名LastPass用戶到某個惡意網站上。
• 網站可以在不被用戶察覺的情況下執行LastPass操作（比如刪除某些條目）

需要注意的是，LastPass近日曝出的這個漏洞，隻影響了Firefox的擴展用戶，通過查看官方Blog（相關的部分附於文末），總結一下核心點：

1. 4.0版本的LastPass擴展出現了問題，用戶在AMO（addons.mozilla.org-官方擴展中心）上安裝的是3.x版本，不會受到影響；
2. 如果用戶是從官網或者通過程序附帶安裝的，需要檢查一下版本，4.0版本則需要安裝至最新版4.1.21a：https://lastpass.com/lastpassffx

LastPass已經修復了這個讓攻擊者遠程訪問數百萬賬戶的所謂「零日漏洞」，而且此漏洞也需要用戶訪問特定網站才會觸發，所以無需過於擔心。

————

附：官方Blog節選

We want to share a quick update with nthe LastPass community about important fixes that we have made in nresponse to two recent security reports. Our team worked directly with the security researchers to verify the reports made and issue a fix to LastPass users.

The recent report only affects nFirefox users. If you are a Firefox user running LastPass 4.0 or later, nan update will be pushed via your browser with the fix in version n4.1.21a. If you would like to update your client proactively, you can nupdate with our download link here: https://lastpass.com/lastpassffx.n You can check which version you are running in your LastPass browser naddon, under the More Options menu in About LastPass. If you are runningn LastPass 3.0, you are not impacted and do not need to update.

Other browsers are not impacted by this report, and users do not need to take action for other browsers.

https://blog.lastpass.com/2016/07/lastpass-security-updates.html/