时间戳:美国东部时间下午1:15

安全是我们在LastPass所做的基本工作。我们的首要任务总是尽快对报告作出反应和修正。

在最近的新闻之后，我们想更详细地讨论两份向我们团队披露的安全报告。其中一份报告是昨天披露的，而另一份报告是在一年多前负责任地报告和修正的。值得注意的是，这两种攻击都需要通过钓鱼攻击欺骗用户进入恶意网站。

一年前，安全研究员Mathias Karlsson向我们的团队披露了第一份报告，并在当时进行了修正。Karlsson最近发布他的发现URL解析错误。所有的浏览器客户端都更新了，Karlsson确认了我们的修复，不需要我们的用户采取任何行动。

第二份报告是谷歌安全团队研究员Tavis Ormandy昨天提出的，他联系我们的团队报告了一个影响LastPass Firefox插件的消息劫持bug。首先，攻击者需要成功地将LastPass用户引诱到一个恶意网站。在那里，Ormandy演示了网站可以在用户不知情的情况下在后台执行LastPass操作，比如删除条目。如下所述，这个问题已经被完全解决，并为所有使用LastPass 4.0的Firefox用户推送了一个带有修复的更新。

进一步的建议

我们知道LastPass社区是非常了解安全性的，但作为一个提醒，LastPass强烈推荐以下用于在线安全性的通用最佳实践:

• 谨防网络钓鱼攻击。不要点击来自你不认识的人的链接，或者那些看起来与你信任的联系人和公司的性格不符的链接。
• 每个在线账户使用不同的、唯一的密码。
• 为您的LastPass帐户使用一个强大、安全的主密码，并且您永远不会向任何人透露，包括我们。
• 为LastPass和其他服务(如银行、电子邮件、Twitter、Facebook等)开启双因素身份验证。
• 通过运行杀毒软件和更新软件来保持机器清洁。

再次感谢塔维斯和马赛厄斯，以及安全领域的其他人，感谢他们负责任的披露。我们重视他们的工作，因为他们帮助我们打造更强大、更安全的产品。

____

我们想与LastPass社区分享一个关于我们对最近的两个安全报告所做的重要修复的快速更新。我们的团队直接与安全研究人员合作，验证所做的报告，并向LastPass用户发布修复。

最近的报告只影响Firefox用户。如果您是运行LastPass 4.0或更高版本的Firefox用户，将通过您的浏览器推送带有4.1.21a版本修复的更新。如果你想主动更新你的客户端，你可以在这里更新我们的下载链接:https://lastpass.com/lastpassffx。你可以在你的LastPass浏览器插件中查看你正在运行的版本，在关于LastPass的更多选项菜单下。如果运行的是LastPass 3.0，则不受影响，也不需要更新。

其他浏览器不受此报告的影响，用户不需要对其他浏览器采取操作。

一如既往，我们感谢安全社区对我们产品的挑战，并确保我们为用户提供安全的服务。关于这些修复的更多信息将在这里发布。