Abo
  • Services:
Anzeige
Passwort Manager: Lastpass behebt kritische Lücke
(Bild: Lastpass)

Passwort Manager: Lastpass behebt kritische Lücke

Passwort Manager: Lastpass behebt kritische Lücke
(Bild: Lastpass)

Die gestern von Tavis Ormandy gemeldete kritische Schwachstelle im Passwort-Manager Lastpass ist nach Angaben des Unternehmens inzwischen geschlossen worden. Ein neue Lastpass-Version soll unter Firefox bereitstehen.

In einem Blogeintrag hat Lastpass eine gemeldete Sicherheitslücke bestätigt und die sofortige Verfügbarkeit der gefixten Version 4.1.21a der betroffenen Firefox-Erweiterung angekündigt. Die Aktualisierung werde normalerweise automatisch an Lastpass-Nutzer unter Firefox verteilt, Eilige könnten das Update aber auch durch einen Besuch der Lastpass-Webseite anstoßen.

Anzeige

Die erst kürzlich von Sicherheitsforscher Tavis Ormandy entdeckte kritische Lücke, die offenbar nur in der Firefox-Erweiterung des Passwort-Managers steckte, ist seit gestern öffentlich bekannt, nachdem Ormandy über Twitter davon berichtete.

Zugriff auf Lastpass-Passwörter

Demnach erlaubte der Fehler, einer zuvor präparierten Webseite die Lastpass-Erweiterung per Javascript direkt anzugreifen. So war es einem Angreifer möglich, die Berechtigung zum Erstellen und Löschen neuer Einträge zu erlangen, Skripte auszuführen und alle Passwörter zu stehlen.

  • Der von Tavis Ormandy veröffentlichte Beispiel-Code, um Passwörter aus Lastpass abzugreifen (Quelle: Tavis Ormandy/Screenshot: Golem.de)
Der von Tavis Ormandy veröffentlichte Beispiel-Code, um Passwörter aus Lastpass abzugreifen (Quelle: Tavis Ormandy/Screenshot: Golem.de)

Kontrovers ist bis zuletzt das offizielle Lastpass-Statement, dass der Exploit stets voraussetze, einen Nutzer "über eine Phishing-Attacke" erfolgreich auf eine bösartige Webseite zu lenken, eine Darstellung, die Ormandy bestreitet. Es sei "nicht korrekt" zu sagen, der Exploit bedürfe einer erfolgreichen Phishing-Attacke. "Ich nehme an, der Blogpost [von Lastpass, A. d. R.] wurde von jemandem geschrieben, dem der Begriff Phishing unbekannt ist."

Wiederholte Probleme mit Lastpass

Der Passwort-Manager Lastpass, der im vergangenen Jahr für 125 Millionen US-Dollar von dem für seine Fernwartungssoftware bekannten US-Anbieter Logmein übernommen wurde, steht nicht das erste Mal wegen Schwachstellen in der Kritik.

Bereits im Juni 2015 war es Hackern bei einem Einbruch in die Server von Lastpass gelungen, Zugriff auf E-Mail-Adressen, Passworthinweise und Authentifizierungshashes etlicher Benutzerkonten zu erlangen. Die in der Passwortverwaltung gespeicherten Kennwörter seien damals zwar nicht betroffen gewesen, dennoch wurden alle Anwender per E-Mail aufgefordert, ihr Masterpasswort zu ändern.


eye home zur Startseite
My1 28. Jul 2016

wusste ich nicht, das letzte mal als ich keypass hatte war ewig her aber es ist...

AnonymerHH 28. Jul 2016

ja, ich finde auch das man millionen zeilen quelltext eines komplexen betriebssystems so...



Anzeige

Stellenmarkt
  1. Eucon GmbH, Münster
  2. ZytoService Deutschland GmbH, Hamburg
  3. Mensch und Maschine Deutschland GmbH, Weßling bei München
  4. symmedia GmbH, Bielefeld


Anzeige
Blu-ray-Angebote
  1. 29,99€ (Vorbesteller-Preisgarantie)
  2. 23,99€ (Vorbesteller-Preisgarantie)
  3. (u. a. John Wick, The Hateful 8, Die Bestimmung, Fifty Shades of Grey, London Has Fallen)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Mobilfunkausrüster

    Welche Frequenzen für 5G in Deutschland diskutiert werden

  2. XMPP

    Bundesnetzagentur will hundert Jabber-Clients regulieren

  3. Synlight

    Wie der Wasserstoff aus dem Sonnenlicht kommen soll

  4. Pietsmiet

    "Alle Twitch-Kanäle sind kostenpflichtiger Rundfunk"

  5. Apache-Lizenz 2.0

    OpenSSL plant Lizenzwechsel an der Community vorbei

  6. 3DMark

    Overhead-Test ersetzt Mantle durch Vulkan

  7. Tastatur-App

    Nutzer ärgern sich über Verschlimmbesserungen bei Swiftkey

  8. Kurznachrichten

    Twitter erwägt Abomodell mit Zusatzfunktionen

  9. FTTH

    M-net-Glasfaserkunden nutzen 120 GByte pro Monat

  10. Smartphone

    Google behebt Bluetooth-Problem beim Pixel



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Videostreaming im Zug: Maxdome umwirbt Bahnfahrer bei Tempo 230
Videostreaming im Zug
Maxdome umwirbt Bahnfahrer bei Tempo 230
  1. USA Google will Kabelfernsehen über Youtube streamen
  2. Verband DVD-Verleih in Deutschland geht wegen Netflix zurück
  3. Nintendo Vorerst keine Videostreaming-Apps auf Switch

Buch - Apple intern: "Die behandeln uns wie Sklaven"
Buch - Apple intern
"Die behandeln uns wie Sklaven"
  1. Übernahme Apple kauft iOS-Automatisierungs-Tool Workflow
  2. Instandsetzung Apple macht iPhone-Reparaturen teurer
  3. Earbuds mit Sensor Apple beantragt Patent auf biometrische Kopfhörer

D-Wave: Quantencomputer oder Computer mit Quanteneffekten?
D-Wave
Quantencomputer oder Computer mit Quanteneffekten?
  1. IBM Q Qubits as a Service
  2. Rechentechnik Ein Bauplan für einen Quantencomputer

  1. Re: Sehr gefährliches Thema

    divStar | 04:50

  2. Re: "dürften kaum die normalerweise fälligen 1...

    divStar | 04:45

  3. Re: Diagnose: Behindert!

    divStar | 04:42

  4. Worum gehts?

    Gandalf2210 | 04:41

  5. Re: Inhaltlicher Fehler: Es betrifft ALLE Streams...

    Gandalf2210 | 04:28


  1. 17:45

  2. 17:32

  3. 17:11

  4. 16:53

  5. 16:38

  6. 16:24

  7. 16:09

  8. 15:54


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel