用户安全更新须知

By March 22, 2017 未分类 No Comments

Update March 25, 2017 (5:00pm): Our team is currently investigating a new report by Tavis Ormandy and will update our community when we have more details. Thank you.

事件报告:2017 年 3 月 22 日(下午 2:30)

本文旨在向我们的用户群体提供关于 Google Project Zero 团队安全研究员 Tavis Ormandy 近期报告的漏洞的最新进展 。

这篇文章篇幅较长,您可以选择从概述中获悉需知要点,也可以从下方的全面摘要中了解详情。

概述

  • 安全研究员 Tavis Ormandy 近期发现了两个漏洞
  • 截至目前的调查表明,尚未有任何敏感用户数据出现遗失或损坏
  • 所有的扩展已得到修补,正在重新发布给用户
  • 我们的 Android 版和 iOS 版移动应用程序未受影响
  • 无需更改主密码
  • 无需更改网站证书密码
  • 请确保运行最新版本
    • 大多数用户都会自动完成更新,最新版本可随时从 com/download 下载
    • 请点击“LastPass 图标 > 更多选项 > 关于 LastPass”查看您使用的版本
      • Firefox:扩展1.36
      • Chrome:扩展1.43.82
      • Edge:扩展1.30(正在等候 Microsoft 批准)
      • Opera:扩展1.28(正在等候 Opera 批准)

事件详情

过去几个星期,Google Project Zero 团队的安全研究员 Tavis Ormandy 向我们团队报告了影响多个 LastPass 浏览器扩展的漏洞。Tavis Ormandy 报告的问题对个人用户及企业用户都有影响。

在利用这两个漏洞之前,攻击者会首先引诱用户使用恶意网站。Tavis 演示了在用户进入恶意网站后攻击者如何作为受信任方调用 LastPass API,以及在某些情况下,攻击者如何作为受信任方运行任意代码。攻击者便是利用这种方式来获取、披露 LastPass 帐户中的信息,如用户的登录凭证。

LastPass Firefox 扩展 3.3.2 消息拦截漏洞

报告详情:
恶意网站会根据 LastPass Firefox 扩展 3.3.2 中的 URL 解析过程欺骗合法网站,诱骗 LastPass 插件提供用户网站凭证。

我们团队在去年就收到了关于这一漏洞的报告,并在当时就进行了修复。但是,我们之前的 LastPass Firefox 扩展 3.3.x 版本未得到修复;该版本已计划于 4 月正式弃用。

您需要知道的:

  • 就在收到此报告前不久,我们已经宣布弃用 LastPass Firefox 扩展x 版本
  • 我们强烈推荐从 com/download 更新至 LastPass Firefox 扩展 4.1.36 版本。用户也可更新到 LastPass Firefox 扩展 3.3.4,不过如前文所述,LastPass 扩展 3.x 版本将在几个星期后被弃用。

网站连接器漏洞

报告详情:
消费者综合功能架构的问题对显示相应代码的客户端(Chrome、Firefox、Edge)造成了影响。恶意网站会伪装成受信任方欺骗 LastPass 并窃取网站凭证。被引诱至恶意网站后,运行 LastPass 二进制组件的用户(不到 LastPass 用户群的 10%)还容易受远程漏洞利用的影响。

该漏洞最早是在 2016 年 8 月我们向消费者用户发布试验性综合功能时引入的。不过,相应代码的确存在于所有的 Chrome、Firefox 及 Edge LastPass 客户端中。

收到漏洞通知后, LastPass 团队立即关闭了易受攻击的服务,并开始着手更新所有受影响的客户端。

在我们全力修复客户端的同时,Tavis 又在推文中报告了(自删除后)另一个问题。说得明白一点儿,这与两个不同浏览器存在的问题一样。这种情况导致大家对问题数量及修复状态有所困惑。

您需要知道的:

  • 我们已向所有受影响的客户端提交了更新信息,以全面解决此漏洞,并重新发布给了所有用户。
  • LastPass Chrome 扩展与 LastPass Firefox 扩展现已上线,而 LastPass Edge 扩展与 LastPass Opera 扩展正在等待应用程序商店的批准。
  • 作为处理流程的一部分,我们对使用相应代码的其他所有扩展(以及安装程序)进行了全面地分析。

完整时间表(美国东部时间):

LastPass Firefox 扩展 3.3.2 消息拦截漏洞

  • 3 月 10 日:LastPass 宣布正式弃用 LastPass Firefox 扩展3.x 版本
  • 3 月 15 日晚上 10:45:公布 LastPass Firefox 扩展3.2 消息拦截漏洞
  • 3 月 15 日晚上 10:48:LastPass 收到有关 LastPass Firefox 扩展3.2 漏洞的详情并展开了调查
  • 3 月 17 日上午 8:43:LastPass 向 Mozilla 提交了 LastPass Firefox 扩展3.4 的补丁

网站连接器漏洞

  • 3 月 20 日晚上 7:20:公布 LastPass Chrome 扩展1.42 网站连接器漏洞
  • 3 月 20 日晚上 7:36:启动 LastPass 跨功能安全调查
  • 3 月 21 日凌晨 00:15:LastPass 关闭易受攻击服务的服务器端
  • 3 月 21 日上午 7:04:LastPass 宣布落实服务器端变通方案,同时彻底分析代码,全面解决客户端问题
  • 3 月 22 日凌晨 00:10:LastPass 发布带补丁的 LastPass Firefox 扩展1.36
  • 3 月 22 日中午 12:07:LastPass 发布带补丁的 LastPass Chrome 扩展1.43.82
  • 3 月 22 日下午 1:55:LastPass 提交 LastPass Edge 扩展1.30 以供发布
  • 3 月 22 日下午 2:49:LastPass 在 com/download 上发布带补丁的 LastPass Opera 扩展 4.1.28;商店待发布

个人安全最佳实践相关提醒

我们知道 LastPass 用户都在尽力遵循最佳实践,不过我们还是想就如何保护您的设备,确保数据安全,给您一些友情提醒:

  • 谨防网络钓鱼攻击。请勿点击您不认识的人发来的链接,也不要点击您信任的联系人及公司发来的不符常性的链接。
  • 每个在线帐户应使用不同且唯一的密码。
  • 为 LastPass 帐户设置一个无人知晓(也不要告诉我们)的安全性高的主密码。
  • 为 LastPass 及其他服务(如银行、电子邮件、Twitter、Facebook 等)启用双因素验证。
  • 定期运行杀毒软件清理设备,及时更新软件版本。

展望未来

为避免未来出现此类问题,我们正在审查、增强如今采用的代码审查和安全流程,尤其是涉及全新及试验性功能时。

安全是我们所有工作的基础,这一点毋庸置疑。出现任何安全问题,我们都会努力保持透明公开。我们十分感谢 Tavis、Project Zero 以及其他白帽黑客研究员所做的工作。当这一安全模式能够可靠地披露漏洞时,我们都会从中裨益,而且我们相信,LastPass 在各方的关注下会变得越来越强大。我们热诚欢迎所有研究员踊跃参与我们的有奖捉虫计划 https://bugcrowd.com/lastpass

———-

2017 年 3 月 22 日(上午 11:12)

过去几个星期,我们与 Google 安全研究员 Tavis Ormandy 密切合作,调查并修复了他报告的漏洞。我们对报告中提及的问题展开了全面的调查,以期为您提供尽可能详细的信息,为此造成的延迟响应,我们深感抱歉。我们很快就会发布我们的事后分析结果,在此之前我们想先与我们的用户群体分享一下快速摘要。

事件详情
3 月 20 日晚上,我们收到了有关 LastPass Chrome 扩展 4.1.42.80 的问题报告。之后,我们立即展开了调查并在几小时后发布了服务器端变通方案。发布了试验性用户综合功能的所有 LastPass 客户端(Chrome、Firefox、Edge)都存在这一漏洞。

3 月 21 日晚上,有关 LastPass Firefox 扩展 4.1.35a 的另一份报告随之而来。事实上,这份报告提及的漏洞在很大程度上与前一天报告的问题相同,并且会影响 4.x Firefox 插件。虽然我们能够使用变通方案彻底解决这一问题,但我们并未来得及发布变通方案,就收到了这份报告。我们于美国东部时间今天凌晨 00:15 发布了更新版本 LastPass Firefox 扩展 4.1.36a,专门解决报告中所述问题。

补丁正在发布给所有用户,大多数用户应该都能够自动更新。

目前我们尚未发现报告中提及的漏洞被广泛利用的迹象,不过我们正在展开全面的检查,进行确认。我们很快便会提供一份更为全面的事件摘要,告知我们的用户群体需要注意的事项。目前,用户还无需更改密码。