偵測

LastPass Firefox Extension 4.0 < 4.1.21a 訊息劫持

high Nessus Plugin ID 92660

語系:

概要

遠端主機上安裝的密碼管理員受到一個遠端訊息劫持弱點影響。

說明

根據其版本,遠端 Windows 主機上安裝的 LastPass Firefox 延伸模組為 4.1.21a 之前的 4.0.x 版。因此,會受到一個訊息劫持弱點影響,此弱點是因不當驗證在延伸模組和有權限的 iframe 之間傳送的訊息所導致。未經驗證的遠端攻擊者可惡意利用此問題,誘騙使用者載入特製網頁,其以程式設計方式點擊 LastPass 修改的輸入元素,進而可完全控制 LastPass 沿延伸模組,包括:建立和刪除檔案、執行指令碼和洩漏密碼。

解決方案

升級至 LastPass Firefox 延伸模組 4.1.21a 版或更新版本。

另請參閱

https://bugs.chromium.org/p/project-zero/issues/detail?id=884

https://blog.lastpass.com/2016/07/lastpass-security-updates.html/

https://thehackernews.com/2016/07/lastpass-password-manager.html

Plugin 詳細資訊

嚴重性: High

ID: 92660

檔案名稱: lastpass_4_1_21a_firefox_extension_message_hijacking.nasl

版本: 1.7

類型: local

代理程式: windows

系列: Windows

已發布: 2016/8/1

已更新: 2018/11/15

支援的感應器: Nessus Agent, Nessus

弱點資訊

CPE: x-cpe:/a:lastpass:lastpass

必要的 KB 項目: Browser/Firefox/Extension

修補程式發佈日期: 2016/7/27

弱點發布日期: 2016/7/27