偵測

LastPass Firefox Extension 4.0 < 4.1.21a 訊息劫持

high Nessus Plugin ID 92660

語系:

概要

遠端主機上安裝的密碼管理員受到一個遠端訊息劫持弱點影響。

說明

根據其版本,遠端 Windows 主機上安裝的 LastPass Firefox 延伸模組為 4.1.21a 之前的 4.0.x 版。因此,會受到一個訊息劫持弱點影響,此弱點是因不當驗證在延伸模組和有權限的 iframe 之間傳送的訊息所導致。未經驗證的遠端攻擊者可惡意利用此問題,誘騙使用者載入特製網頁,其以程式設計方式點擊 LastPass 修改的輸入元素,進而可完全控制 LastPass 沿延伸模組,包括:建立和刪除檔案、執行指令碼和洩漏密碼。

解決方案

升級至 LastPass Firefox 延伸模組 4.1.21a 版或更新版本。

另請參閱

https://bugs.chromium.org/p/project-zero/issues/detail?id=884

https://blog.lastpass.com/2016/07/lastpass-security-updates.html/

https://thehackernews.com/2016/07/lastpass-password-manager.html

Plugin 詳細資訊

嚴重性: High

ID: 92660

檔案名稱: lastpass_4_1_21a_firefox_extension_message_hijacking.nasl

版本: 1.7

類型: local

代理程式: windows

系列: Windows

已發布: 2016/8/1

已更新: 2018/11/15

支援的感應器: Nessus Agent, Nessus

風險資訊

CVSS v2

風險因素: High

基本分數: 9.3

時間分數: 6.9

媒介: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C

CVSS v3

風險因素: High

基本分數: 8.8

時間分數: 7.7

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: x-cpe:/a:lastpass:lastpass

必要的 KB 項目: Browser/Firefox/Extension

修補程式發佈日期: 2016/7/27

弱點發布日期: 2016/7/27