你处在Superfish的风险之下吗?现在就检查.

By February 19, 2015 未分类 No Comments
LastPass Now Checks If You're Affected by the Superfish Vulnerability

二月十八日周三爆发新闻, 联想的设备附带了广告软件,它有可能降低安全性地连接到网站,并有可能暴露敏感的消费者信息.

现在就使用我们的工具: www.LastPass.com/superfish 进行检查,看你是否受Superfish漏洞影响.

什么是Superfish漏洞?

在过去的两年中,在联想的产品中预装了被称为“Superfish Visual Discovery”的软件. Superfish软件在谷歌搜索结果和网站中推送广告 “帮助用户在视觉上搜寻和找到产品”.

然而, 人们发现,Superfish软件在安装它自己的自签名的根证书存储,这样,Superfish软件总是作为值得信赖的一方来显示. Superfish软件然后将有能力通过中间人攻击而将原应安全的通信拦截到网站上去. 研究人员还证实,在同一网络上的黑客,, 比如在咖啡馆的开放式WiFi热区的黑客, 能够利用Superfish窃取诸如你的银行登录信息等信息或阅读你的电子邮件.

这会如何影响LastPass?

除了其它加密层外, LastPass还使用SSL来作为额外的保护层. 如果你通过LastPass扩展登录, 则不存在来自本地中间人攻击的额外的风险. 如果是通过LastPass.com 网站来登录, 风险会稍大, 但我们没有理由相信,LastPass用户是处在危险之中. 我们没有迹象显示,这一漏洞已经冲向LastPass用户, 这一恶意软件的最初目标是服务于广告.

现在采取行动,保护自己免受Superfish影响.

好消息是,联想已于2015年1月停止了预加载Superfish 2015. 坏消息是,其上有Superfish运行的数百万台联想笔记本电脑已经出货(我们此时没有受影响的设备的列表). Superfish显示出影响了在那些联想电脑上的IE和Chrome浏览器.

我们的Superfish检查件: https://lastpass.com/superfish/ 将验证Superfish是否在你的机器上运行,并告诉你系统是否存在风险.

如果你受Superfish影响, 你必须首先删除Superfish程序:

  • 点击Windows开始按钮
  • 搜索卸载程序
  • 启动卸载程序
  • 右键点击“ Superfish Inc VisualDiscovery”,并选择卸载
  • 如果系统提示你输入管理员密码, 就输入或提供确认

然后,你必须也卸载Superfish证书:

  • 点击Windows开始按钮
  • 在搜索框中键入certmgr.msc
  • 点击certmgr.msc程序来启动它
  • 如果系统提示你输入管理员密码, 就输入密码或提供确认
  • 点击“受信任的根证书”
  • 打开证书
  • 查找“证书监控Superfish公司”
  • 在任一个Superfish公司证书上右键点击并删除
  • 重新启动浏览器

一旦你的系统是干净的了:

  • 下载LastPass来开始管理你的密码: www.LastPass.com
  • 运行 Security Check (从你LastPass浏览器扩展中的工具菜单运行).
  • 使用“自动密码更改”来即时更新弱的或重复的密码.
  • 更新其它的弱的或与LastPass密码生成器重复的密码.
  • 为重要网站更新密码,如电子邮件网站, 银行网站, 和社交网等.

我们还将继续更新LastPass安全检查工具,为您提供与安全漏洞和有风险的网络帐户有关的最新信息. 我们会继续密切留意有关情况,并对我们的社区进行更新.