Zum Hauptinhalt Zur Navigation

Suche Shortcut: Strg + K

Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SoftwareSecurityHardwareWissen

Passwort Manager: Lastpass behebt kritische Lücke

Die gestern von Tavis Ormandy gemeldete kritische Schwachstelle im Passwort -Manager Lastpass ist nach Angaben des Unternehmens inzwischen geschlossen worden. Ein neue Lastpass-Version soll unter Firefox bereitstehen.
/ Jan Weisensee
8 Kommentare News folgen (öffnet im neuen Fenster)
Bild: Lastpass

In einem Blogeintrag hat Lastpass eine gemeldete Sicherheitslücke bestätigt und die sofortige Verfügbarkeit der gefixten Version 4.1.21a der betroffenen Firefox-Erweiterung angekündigt. Die Aktualisierung werde normalerweise automatisch an Lastpass-Nutzer unter Firefox verteilt, Eilige könnten das Update aber auch durch einen Besuch der Lastpass-Webseite anstoßen(öffnet im neuen Fenster) .

Die erst kürzlich von Sicherheitsforscher Tavis Ormandy entdeckte kritische Lücke, die offenbar nur in der Firefox-Erweiterung des Passwort-Managers steckte, ist seit gestern öffentlich bekannt, nachdem Ormandy über Twitter davon berichtete.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
D99-26-12 IT Support Engineer (w/m/d) Deutsches Zentrum für Astrophysik gGmbH, Görlitz (öffnet im neuen Fenster)
R&D Engineer - AI Integration (m/f/d) Advantest Europe GmbH, München (öffnet im neuen Fenster)
Produktmanager (m/w/d) Geschäftskundenlösungen - Schwerpunkt Connectivity & Security htp GmbH, Hannover (öffnet im neuen Fenster)
Mitarbeiter Dokumentenmanagement (m/w/d) WWK Lebensversicherung a. G., München (öffnet im neuen Fenster)
Softwareentwickler (m/w/d) MAC Mode GmbH & Co. KGaA, Wald (öffnet im neuen Fenster)
Mitarbeiter Dokumentenmanagement (m/w/d) WWK Lebensversicherung a. G., München (öffnet im neuen Fenster)
Solution Manager - Business Integration (m/w/d) CHEFS CULINAR West GmbH & Co. KG, Weeze (öffnet im neuen Fenster)
Dualer Studiengang: Business Administration - Industriekaufmann (m/w/d) und Bachelor of Science Wirtgen GmbH, Windhagen (öffnet im neuen Fenster)

Zugriff auf Lastpass-Passwörter

Demnach erlaubte(öffnet im neuen Fenster) der Fehler, einer zuvor präparierten Webseite die Lastpass-Erweiterung per Javascript direkt anzugreifen. So war es einem Angreifer möglich, die Berechtigung zum Erstellen und Löschen neuer Einträge zu erlangen, Skripte auszuführen und alle Passwörter zu stehlen.

Der von Tavis Ormandy veröffentlichte Beispiel-Code, um Passwörter aus Lastpass abzugreifen (Quelle: Tavis Ormandy/Screenshot: Golem.de)
Bild 1/1: Der von Tavis Ormandy veröffentlichte Beispiel-Code, um Passwörter aus Lastpass abzugreifen (Quelle: Tavis Ormandy/Screenshot: Golem.de)

Kontrovers ist bis zuletzt das offizielle Lastpass-Statement, dass der Exploit stets voraussetze, einen Nutzer "über eine Phishing-Attacke" erfolgreich auf eine bösartige Webseite zu lenken, eine Darstellung, die Ormandy bestreitet(öffnet im neuen Fenster) . Es sei "nicht korrekt" zu sagen, der Exploit bedürfe einer erfolgreichen Phishing-Attacke. "Ich nehme an, der Blogpost [von Lastpass, A. d. R.] wurde von jemandem geschrieben, dem der Begriff Phishing unbekannt ist."

Wiederholte Probleme mit Lastpass

Der Passwort-Manager Lastpass, der im vergangenen Jahr für 125 Millionen US-Dollar von dem für seine Fernwartungssoftware bekannten US-Anbieter Logmein übernommen wurde , steht nicht das erste Mal wegen Schwachstellen in der Kritik.

Bereits im Juni 2015 war es Hackern bei einem Einbruch in die Server von Lastpass gelungen, Zugriff auf E-Mail-Adressen, Passworthinweise und Authentifizierungshashes etlicher Benutzerkonten zu erlangen. Die in der Passwortverwaltung gespeicherten Kennwörter seien damals zwar nicht betroffen gewesen, dennoch wurden alle Anwender per E-Mail aufgefordert, ihr Masterpasswort zu ändern.

Zur Startseite 8 Kommentare

Relevante Themen

VerschlüsselungSoftwareProgrammiersprachenSecuritySicherheitslückeCybercrimeTavis OrmandyDatensicherheit