LastPass建议用户更新其密码管理器的Chrome扩展程序。如果用户访问黑客控制的网站,则可以利用该软件中的错误泄露用户的登录凭据。

该公司的扩展程序拥有超过1000万用户,可以自动填写帐户登录密码。当用户单击登录字段中出现的LastPass“...”图标时,会发生填充过程。

然而,上个月谷歌安全研究员塔维斯·奥曼迪注意到后台进程中存在问题。该错误可以触发扩展以公开其填写的最后一个登录凭据。要利用它,黑客可能会创建一个恶意网站,旨在从Lastpass Chrome扩展程序用户处获取密码条目。受害者只需要多次点击恶意页面就会导致凭证泄露

该错误是寻求任何有价值的黑客诱骗用户的密码。例如,网络犯罪分子可能会将篡改网站的链接传播给LastPass用户秘密捕食。好消息是该公司上周用LastPass版本的4.33.0版修补了这个问题。

“我们现在已经解决了这个错误;不需要用户操作,你的LastPass浏览器扩展将自动更新,”该公司在周一的博客文章中说。除Chrome之外,该漏洞还会影响Opera浏览器的扩展程序。作为预防措施,LastPass表示它还推出了对其他浏览器扩展的保护措施。

为了保护自己免受帐户劫持,最好通过在线帐户启用双因素身份验证。这将强制任何尝试登录的人不仅输入正确的密码,还要输入手机生成的唯一代码。您还可以查看我们保持在线安全的其他提示。