“LastPass修复了泄露客户密码的最新错误”

lastpass宣布更新，以纠正密码管理器浏览器扩展中最近的高度重要的安全漏洞。 来自project zero集团的谷歌最著名的安全研究者之一tavis ormandy上个月发现了这个漏洞。 ormandy以前在lastpass密码管理器中发现了其他几个错误。

lastpass修复了密码管理器浏览器扩展版4.33.0中的错误。 浏览器扩展通常会自动更新，但如果禁用了自动更新功能，则必须手动更新密码管理器。 lastpass表示所有增强功能都已更新，但此缺陷应该只影响chrome和opera。

该错误不依赖于与客户的交互，因此被认为是危险的和可用的。 攻击者可以欺骗客户，点击恶意页面，从以前访问过的页面中提取客户的凭据。 lastpass有权读取客户访问的所有网站上的数据。

对于浏览器密码管理器来说，此功能是必需的。 浏览器供应商为了解决这个问题，有时会采用更具体的api，但是这个api只有经过认证的密码管理器才能访问，什么也不做

lastpass建议客户遵循常见的最佳实践，包括:

小心网络钓鱼攻击。 请不要点击你不认识的人的链接，也不要点击可以信赖的联系方式和企业的特征。

始终为lastpass和其他服务(如银行、电子邮件、推特和脸书)启用mfa。 添加其他认证层是保护账户最有效的方法。

不要重复使用lastpass主密码，也不要向包括我们在内的任何人公开。

每个在线帐户使用不同的唯一密码。

运行具有最新检测模式的防病毒软件，使软件保持最新状态，从而保护计算机免受恶意软件攻击。

lastpass不是唯一具有安全漏洞的密码管理器，即使是重要性较高的密码管理器，也一定会频繁出现在各种安全问题的信息中。 虽然lastpass仍然是最受欢迎的密码管理器，但是建议切换到开源密码管理器，如bitwarden和keepassxc。

本文：《“LastPass修复了泄露客户密码的最新错误”》