Abo
  • Services:
Anzeige
Passwort Manager: Lastpass behebt kritische Lücke
(Bild: Lastpass)

Passwort Manager: Lastpass behebt kritische Lücke

Passwort Manager: Lastpass behebt kritische Lücke
(Bild: Lastpass)

Die gestern von Tavis Ormandy gemeldete kritische Schwachstelle im Passwort-Manager Lastpass ist nach Angaben des Unternehmens inzwischen geschlossen worden. Ein neue Lastpass-Version soll unter Firefox bereitstehen.

In einem Blogeintrag hat Lastpass eine gemeldete Sicherheitslücke bestätigt und die sofortige Verfügbarkeit der gefixten Version 4.1.21a der betroffenen Firefox-Erweiterung angekündigt. Die Aktualisierung werde normalerweise automatisch an Lastpass-Nutzer unter Firefox verteilt, Eilige könnten das Update aber auch durch einen Besuch der Lastpass-Webseite anstoßen.

Anzeige

Die erst kürzlich von Sicherheitsforscher Tavis Ormandy entdeckte kritische Lücke, die offenbar nur in der Firefox-Erweiterung des Passwort-Managers steckte, ist seit gestern öffentlich bekannt, nachdem Ormandy über Twitter davon berichtete.

Zugriff auf Lastpass-Passwörter

Demnach erlaubte der Fehler, einer zuvor präparierten Webseite die Lastpass-Erweiterung per Javascript direkt anzugreifen. So war es einem Angreifer möglich, die Berechtigung zum Erstellen und Löschen neuer Einträge zu erlangen, Skripte auszuführen und alle Passwörter zu stehlen.

  • Der von Tavis Ormandy veröffentlichte Beispiel-Code, um Passwörter aus Lastpass abzugreifen (Quelle: Tavis Ormandy/Screenshot: Golem.de)
Der von Tavis Ormandy veröffentlichte Beispiel-Code, um Passwörter aus Lastpass abzugreifen (Quelle: Tavis Ormandy/Screenshot: Golem.de)

Kontrovers ist bis zuletzt das offizielle Lastpass-Statement, dass der Exploit stets voraussetze, einen Nutzer "über eine Phishing-Attacke" erfolgreich auf eine bösartige Webseite zu lenken, eine Darstellung, die Ormandy bestreitet. Es sei "nicht korrekt" zu sagen, der Exploit bedürfe einer erfolgreichen Phishing-Attacke. "Ich nehme an, der Blogpost [von Lastpass, A. d. R.] wurde von jemandem geschrieben, dem der Begriff Phishing unbekannt ist."

Wiederholte Probleme mit Lastpass

Der Passwort-Manager Lastpass, der im vergangenen Jahr für 125 Millionen US-Dollar von dem für seine Fernwartungssoftware bekannten US-Anbieter Logmein übernommen wurde, steht nicht das erste Mal wegen Schwachstellen in der Kritik.

Bereits im Juni 2015 war es Hackern bei einem Einbruch in die Server von Lastpass gelungen, Zugriff auf E-Mail-Adressen, Passworthinweise und Authentifizierungshashes etlicher Benutzerkonten zu erlangen. Die in der Passwortverwaltung gespeicherten Kennwörter seien damals zwar nicht betroffen gewesen, dennoch wurden alle Anwender per E-Mail aufgefordert, ihr Masterpasswort zu ändern.


eye home zur Startseite
My1 28. Jul 2016

wusste ich nicht, das letzte mal als ich keypass hatte war ewig her aber es ist...

AnonymerHH 28. Jul 2016

ja, ich finde auch das man millionen zeilen quelltext eines komplexen betriebssystems so...



Anzeige

Stellenmarkt
  1. Phoenix Pharmahandel GmbH & Co KG, Mannheim
  2. Bundeskriminalamt, Berlin
  3. über Ratbacher GmbH, Raum Duisburg
  4. Audicon GmbH, Stuttgart


Anzeige
Spiele-Angebote
  1. (-60%) 19,99€
  2. 59,99€/69,99€ (Vorbesteller-Preisgarantie)
  3. (-77%) 6,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Cyberangriff auf Bundestag

    BSI beschwichtigt und warnt vor schädlichen Werbebannern

  2. Equal Rating Innovation Challenge

    Mozilla will indische Dörfer ins Netz holen

  3. Firmenstrategie

    Intel ernennt Strategiechefin und gründet AI-Gruppe

  4. APFS unter iOS 10.3 im Test

    Schneller suchen und ein bisschen schneller booten

  5. Starship Technologies

    Domino's liefert in Hamburg Pizza per Roboter aus

  6. Telekom Stream On

    Gratis-Flatrate für Musik- und Videostreaming geplant

  7. Nachhaltiglkeit

    Industrie 4.0 ist bisher kein Fortschritt

  8. Firaxis Games

    Civilization 6 kämpft mit Update schlauer

  9. Microsoft Office

    Excel-Dokumente gemeinsam bearbeiten und autospeichern

  10. Grafikkarte

    AMDs Radeon RX 580 nutzt einen 8-Pol-Stromanschluss



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
NZXT: Lüfter auch unter Linux steuern
NZXT
Lüfter auch unter Linux steuern
  1. Creoqode 2048 Tragbare Spielekonsole zum Basteln erhältlich
  2. FluoWiFi Arduino-kompatibles Board bietet WLAN und Bluetooth
  3. Me Arm Pi Roboterarm zum Selberbauen

Forensik Challenge: Lust auf eine Cyber-Stelle beim BND? Golem.de hilft!
Forensik Challenge
Lust auf eine Cyber-Stelle beim BND? Golem.de hilft!
  1. Reporter ohne Grenzen Verfassungsklage gegen BND-Überwachung eingereicht
  2. Selektorenaffäre BND soll ausländische Journalisten ausspioniert haben
  3. Ex-Verfassungsgerichtspräsident Papier Die Politik stellt sich beim BND-Gesetz taub

Betrugsnetzwerk: Kinox.to-Nutzern Abofallen andrehen
Betrugsnetzwerk
Kinox.to-Nutzern Abofallen andrehen

  1. Re: Hat schon einen Grund, warum ....

    Prypjat | 14:21

  2. Re: Was zu erwarten war...

    HubertHans | 14:21

  3. Re: Liebe Golem-Autoren,

    AussieGrit | 14:19

  4. Re: Energie sparen! - aber ich fürchte bald gibt...

    ButchCoolidge | 14:19

  5. Von wegen es gibt einen "neuen" Chip, der...

    ButchCoolidge | 14:18


  1. 13:59

  2. 12:45

  3. 12:30

  4. 12:09

  5. 12:04

  6. 11:56

  7. 11:46

  8. 11:41


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel