菜单
2021年8月20日 | 经过

幽灵并确保您的LastPass浏览器扩展

2018年,第三方硬件漏洞,称为幽灵被发现,影响大多数现代中央加工单元(或“处理器”短暂)。此漏洞显示有可能在运行应用程序之间打破隔离,并允许数据从同时在计算机上运行的程序中窃取。幽灵有能力影响在可能影响的硬件上运行的任何网站或基于浏览器的扩展。

那时,Logmein立即开始调查并采取旨在限制幽灵的影响的措施。作为新兴的研究今年在整个行业开发,我们积极与谷歌的铬网站隔离团队合作,更好地了解对基于浏览器的密码经理的任何潜在影响。雷竞技押注图片

此外,最新的发展还有可能揭示可能损害存储在任何网站和/或浏览器扩展名的可能个人或机密数据的可能攻击向量或类型,而不管站点或扩展提供者。谷歌最近发布了旨在保护这些类型的攻击,并防止数据在铬基浏览器上妨碍数据。

我们鼓励所有客户使用LastPass浏览器扩展,以查看最新的开发和我们推荐的安全步骤,以更好地保护其个人或机密数据。

漏洞的详细信息

谷歌的Chrome和其他浏览器,隔离网页和/或浏览器扩展,以防止恶意网页和/或浏览器扩展能够读取该应用程序的潜在个人或机密数据。通过在不同的计算机进程中运行每个网页和/或浏览器扩展来执行此“站点隔离”,以使它们彼此隔离。虽然大多数程序都使用此功能设计,但最近的研究揭示了漏洞可以利用“隔离”旨在保护用户数据的方法。

攻击者可以使用的方法之一是将运行的网站强制到组中,以恶意网站的“隔离进程”。当恶意网站共享一个具有非恶意网站和浏览器的顶级域时,可能会发生这种情况,以将该网站放入同一过程中。这种攻击方法可能会允许对运行网站存储在内存中的所有数据的访问,包括某人可能的个人或机密数据。大大降低与此攻击相关的风险,已经使用谷歌取得了进展Chrome 92.(如上所述)和Firefox启用了裂缝,另外,我们继续推荐下面概述的安全最佳实践。

另一个考虑因素是浏览器扩展;使用浏览器中安装的软件利用内容脚本,在网页上下文中运行的文件。内容脚本可以读取浏览器访问的网页的详细信息,对其进行更改,并将信息传递给父扩展。恶意浏览器扩展也可能绕过特定的隔离障碍和其他扩展内的访问数据但是,重要的是要注意,在Google的Chrome 92中已解决浏览器扩展隔离问题。

例如,LastPass浏览器扩展的内容脚本用于将凭据从加密的Vault传输到网页以供提交,并且我们限制了秘密存储在内存中的时间量仅根据需要将存储器存储到最小值。凭据只在内容脚本中传递,以便在要运行的扩展程序的功能时才。

您可以采取的步骤来保护您的个人或机密数据

为了更好地保护您的潜在个人或机密数据,并将您对网络威胁和漏洞的风险降低,如幽灵,我们建议我们的用户,客户和社区成员始终谨慎行事,并在线浏览时保持勤奋。以下是一些推荐的最佳安全实践。

  • 使用LastPass来帮助识别欺骗网站。使用密码管理器的一个好处是它只会将密码输入您创建的原始站点。雷竞技押注图片如果您访问一个网站,乍一看看起来合法但具有欺诈性URL,请注意如果您的密码管理器无法识别该网站并自动填充您的凭据。雷竞技押注图片这是一个红色的标志,你可能在欺骗网站上。
  • 只安装众所周知的浏览器扩展并访问信誉良好公司的网站。仔细检查网站URL和扩展的拼写,并确保它们使用HTTPS获得。
  • 保持浏览器和应用程序最新使用最新的软件版本,因为它们被发布并在可用的浏览器设置中启用自动软件更新。很多次,这些更新包括增加漏洞的安全功能和修补程序,例如上述进度谷歌的Chrome 92.启用裂缝的Firefox已经使幽灵造成的风险。
  • 管理您的标签限制您立即打开的网页数量。在可能的情况下,在浏览包含个人或机密数据的网站时,如在线银​​行或社交媒体帐户,请关闭其他不必要的标签,以防止数据交叉的机会。作为最佳实践 - 如果您登录了具有个人或机密数据的网页,但不再需要网页或帐户打开,请注销并关闭页面。
  • 以“私人”模式浏览网站,特别是在浏览敏感网站时。根据您使用的浏览器,名称私人浏览选项可能有所不同。提示:如果在私下浏览模式下发现LastPass扩展不起作用,则可以在浏览器扩展中管理您的设置,以允许扩展以私下浏览模式运行。

一如既往地,为所有Logmein和LastPass用户提供安全,可靠的服务仍然是我们的首要任务。除了我们与Google的合作之后,我们将继续监控与幽灵相关的开发以及释放的其他浏览器安全功能。

要了解Logmein的安全和隐私的立场,您可以访问我们的信任与隐私中心


讨论/阅读评论

发表评论

发表评论

加入我们的时事通讯

输入您的电子邮件以获取LastPass博客的更新。雷竞技严newbee赞助商