Abo
  • Services:
Anzeige
Passwort Manager: Lastpass behebt kritische Lücke
(Bild: Lastpass)

Passwort Manager: Lastpass behebt kritische Lücke

Die gestern von Tavis Ormandy gemeldete kritische Schwachstelle im Passwort-Manager Lastpass ist nach Angaben des Unternehmens inzwischen geschlossen worden. Ein neue Lastpass-Version soll unter Firefox bereitstehen.

In einem Blogeintrag hat Lastpass eine gemeldete Sicherheitslücke bestätigt und die sofortige Verfügbarkeit der gefixten Version 4.1.21a der betroffenen Firefox-Erweiterung angekündigt. Die Aktualisierung werde normalerweise automatisch an Lastpass-Nutzer unter Firefox verteilt, Eilige könnten das Update aber auch durch einen Besuch der Lastpass-Webseite anstoßen.

Anzeige

Die erst kürzlich von Sicherheitsforscher Tavis Ormandy entdeckte kritische Lücke, die offenbar nur in der Firefox-Erweiterung des Passwort-Managers steckte, ist seit gestern öffentlich bekannt, nachdem Ormandy über Twitter davon berichtete.

Zugriff auf Lastpass-Passwörter

Demnach erlaubte der Fehler, einer zuvor präparierten Webseite die Lastpass-Erweiterung per Javascript direkt anzugreifen. So war es einem Angreifer möglich, die Berechtigung zum Erstellen und Löschen neuer Einträge zu erlangen, Skripte auszuführen und alle Passwörter zu stehlen.

  • Der von Tavis Ormandy veröffentlichte Beispiel-Code, um Passwörter aus Lastpass abzugreifen (Quelle: Tavis Ormandy/Screenshot: Golem.de)
Der von Tavis Ormandy veröffentlichte Beispiel-Code, um Passwörter aus Lastpass abzugreifen (Quelle: Tavis Ormandy/Screenshot: Golem.de)

Kontrovers ist bis zuletzt das offizielle Lastpass-Statement, dass der Exploit stets voraussetze, einen Nutzer "über eine Phishing-Attacke" erfolgreich auf eine bösartige Webseite zu lenken, eine Darstellung, die Ormandy bestreitet. Es sei "nicht korrekt" zu sagen, der Exploit bedürfe einer erfolgreichen Phishing-Attacke. "Ich nehme an, der Blogpost [von Lastpass, A. d. R.] wurde von jemandem geschrieben, dem der Begriff Phishing unbekannt ist."

Wiederholte Probleme mit Lastpass

Der Passwort-Manager Lastpass, der im vergangenen Jahr für 125 Millionen US-Dollar von dem für seine Fernwartungssoftware bekannten US-Anbieter Logmein übernommen wurde, steht nicht das erste Mal wegen Schwachstellen in der Kritik.

Bereits im Juni 2015 war es Hackern bei einem Einbruch in die Server von Lastpass gelungen, Zugriff auf E-Mail-Adressen, Passworthinweise und Authentifizierungshashes etlicher Benutzerkonten zu erlangen. Die in der Passwortverwaltung gespeicherten Kennwörter seien damals zwar nicht betroffen gewesen, dennoch wurden alle Anwender per E-Mail aufgefordert, ihr Masterpasswort zu ändern.


eye home zur Startseite
My1 28. Jul 2016

wusste ich nicht, das letzte mal als ich keypass hatte war ewig her aber es ist...

AnonymerHH 28. Jul 2016

ja, ich finde auch das man millionen zeilen quelltext eines komplexen betriebssystems so...



Anzeige

Stellenmarkt
  1. Geocom Informatik GmbH, deutschlandweit
  2. ROHDE & SCHWARZ GmbH & Co. KG, München
  3. IT-Dienstleistungszentrum Berlin, Berlin
  4. MT AG, Ratingen bei Düsseldorf, Köln, Frankfurt am Main, Dortmund


Anzeige
Hardware-Angebote
  1. (nur in den Bereichen "Mainboards", "Smartphones" und "TV-Geräte")
  2. 737.99$/668,38€ mit Gutscheincode: GB13LP
  3. (reduzierte Überstände, Restposten & Co.)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing
  2. Mit digitalen Workflows Geschäftsprozesse agiler machen
  3. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation


  1. Stadtnetz

    Straßenbeleuchtung als Wifi-Standort problematisch

  2. Netzsperren

    UK-Regierung könnte Pornozensur willkürlich beschließen

  3. Kartendienst

    Google Maps soll künftig Parksituation anzeigen

  4. PowerVR Series 8XE Plus

    Imgtechs Smartphone-GPUs erhalten ein Leistungsplus

  5. Projekt Quantum

    GPU-Prozess kann Firefox schneller und sicherer machen

  6. TV-Kabelnetz

    Tele Columbus will höhere Datenrate und mobile Conversion

  7. Fingerprinting

    Nutzer lassen sich über Browser hinweg tracken

  8. Raumfahrt

    Chinas erster Raumfrachter Tianzhou 1 ist fertig

  9. Bezahlinhalte

    Bild fordert Obergrenze für Focus Online

  10. Free-to-Play

    Forum von Clash-of-Clans-Betreiber gehackt



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Reverse Engineering: Mehr Spaß mit Amazons Dash-Button
Reverse Engineering
Mehr Spaß mit Amazons Dash-Button

Glasfaser: Nun hängt die Kabel doch endlich auf!
Glasfaser
Nun hängt die Kabel doch endlich auf!
  1. Fake News Für Facebook wird es hässlich
  2. Nach Angriff auf Telekom Mit dem Strafrecht Router ins Terrorcamp schicken oder so
  3. Soziales Netzwerk Facebook wird auch Instagram kaputt machen

Western Digital Pidrive im Test: Festplatte am Raspberry Pi leicht gemacht
Western Digital Pidrive im Test
Festplatte am Raspberry Pi leicht gemacht
  1. Sopine A64 Weiterer Bastelrechner im Speicherriegel-Format erscheint
  2. Raspberry Pi Compute Module 3 ist verfügbar
  3. Audio Injector Octo Raspberry Pi spielt Surround-Sound

  1. Re: Was genau klaut die Ressourcen?

    Neuro-Chef | 20:23

  2. Re: Youtube Videos bei Focus, Welt, Bild etc.

    redmord | 20:20

  3. Re: nicht eher O2?

    a140829 | 20:16

  4. Re: Ihr müsst euch nicht genötigt füllen

    Neuro-Chef | 20:09

  5. Re: Werkschliessung im Moment eher ungewöhnlich

    Dadie | 20:06


  1. 19:05

  2. 17:57

  3. 17:33

  4. 17:00

  5. 16:57

  6. 16:49

  7. 16:48

  8. 16:29


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel