LastPass. 이전에 방문한 사이트에 입력한 자격 증명을 노출시키는 보안 버그 수정

암호 관리자 LastPass는 지난 주에 이전에 방문한 사이트에 입력 한 자격 증명을 노출시키는 보안 버그를 수정하기위한 업데이트를 릴리스했습니다.

이 버그는 지난 달 Google의 엘리트 보안 및 버그 사냥 팀인 Project Zero의 보안 연구원 인 Tavis Ormandy에 의해 발견되었습니다.

사용자가 LastPass 브라우저 확장 프로그램 또는 모바일 앱에 대해 자동 업데이트 메커니즘을 활성화하지 않은 경우 가능한 한 빨리 수동 업데이트를 수행하는 것이 좋습니다.

버그는 다른 사용자와의 상호 작용없이 악의적인 JavaScript 코드만 실행하는 데 의존하므로 위험하고 잠재적으로 악용 될 수있는 것으로 간주됩니다.

공격자는 악의적인 페이지로 사용자를 유인하고 이 취약점을 악용하여 이전에 방문한 사이트에 입력한 자격 증명을 추출 할 수 있습니다. Ormandy에 따르면 공격자가 Google 번역 URL 뒤로 악의적인 링크를 쉽게 위장하고 사용자가 링크를 방문하도록 유도한 다음, 이전에 방문한 사이트에서 자격 증명을 추출 할 수 있기 때문에 이 방법은 어렵지 않습니다.

https://www.zdnet.com/article/lastpass-bug-leaks-credentials-from-previous-site/

댓글 남기기

This site uses Akismet to reduce spam. Learn how your comment data is processed.

%d 블로거가 이것을 좋아합니다: