Google安全研究小组Project Zero近日发现一款密码管理工具LastPass存在严重漏洞，其能泄露使用者最后一次登录网站的密码，所幸现在LastPass已将该漏洞进行了修补。

据悉，此漏洞由Google Project Zero研究员Tarvis Ormandy发现并通报给LastPass。该漏洞出现在浏览器扩展插件应用时弹出窗口过程中，在某些情况下，网站可通过建立HTML iFrame连到LastPass的popupfilltab.html窗口，而不是经由调用do_popupregister()程序的正常管道。某些情况下，这可能导致弹出窗口用最后一次访问网站的密码开启，而这表明只要使用劫持方法，就能获得前一个网站的登录密码了。

该研究员还模拟了攻击，整个过程相当简单。用户如果使用了LastPass浏览器扩展插件的话，攻击者就能通过一个仿冒谷歌翻译的恶意URL引诱用户点击，而用户一旦点击此链接后，其最后一次登录网站的帐号密码便被攻击者拿到了。

本漏洞影响LastPass上周才放出的4.33.0版，不过LastPass表示受影响的浏览器仅有Chrome和Opera浏览器。目前LastPass表示漏洞已经解决，用户无需做任何升级，LastPass的浏览器扩展插件会自动更新。不过为了防止泄露出现，该公司还针对所有浏览器部署升级至4.33.4版。

LastPass建议使用者开启多因子验证，安装最新的杀毒程序，不要重复使用LastPass主密码，同时也不要多帐号使用同一密码。

如今电商、社交网站林立，密码管理工具自然成为骇客的攻击目标，因此对于网友来说，一定不要因为偷懒而设置和使用弱密码哟，防止遭受意外损失。

文章来源：中关村在线，作者|郑伟，发布此信息的目的在于传播更多信息，如有侵权请联系删除。