Abo
  • Services:
Anzeige
Passwort Manager: Lastpass behebt kritische Lücke
(Bild: Lastpass)

Passwort Manager: Lastpass behebt kritische Lücke

Passwort Manager: Lastpass behebt kritische Lücke
(Bild: Lastpass)

Die gestern von Tavis Ormandy gemeldete kritische Schwachstelle im Passwort-Manager Lastpass ist nach Angaben des Unternehmens inzwischen geschlossen worden. Ein neue Lastpass-Version soll unter Firefox bereitstehen.

In einem Blogeintrag hat Lastpass eine gemeldete Sicherheitslücke bestätigt und die sofortige Verfügbarkeit der gefixten Version 4.1.21a der betroffenen Firefox-Erweiterung angekündigt. Die Aktualisierung werde normalerweise automatisch an Lastpass-Nutzer unter Firefox verteilt, Eilige könnten das Update aber auch durch einen Besuch der Lastpass-Webseite anstoßen.

Anzeige

Die erst kürzlich von Sicherheitsforscher Tavis Ormandy entdeckte kritische Lücke, die offenbar nur in der Firefox-Erweiterung des Passwort-Managers steckte, ist seit gestern öffentlich bekannt, nachdem Ormandy über Twitter davon berichtete.

Zugriff auf Lastpass-Passwörter

Demnach erlaubte der Fehler, einer zuvor präparierten Webseite die Lastpass-Erweiterung per Javascript direkt anzugreifen. So war es einem Angreifer möglich, die Berechtigung zum Erstellen und Löschen neuer Einträge zu erlangen, Skripte auszuführen und alle Passwörter zu stehlen.

  • Der von Tavis Ormandy veröffentlichte Beispiel-Code, um Passwörter aus Lastpass abzugreifen (Quelle: Tavis Ormandy/Screenshot: Golem.de)
Der von Tavis Ormandy veröffentlichte Beispiel-Code, um Passwörter aus Lastpass abzugreifen (Quelle: Tavis Ormandy/Screenshot: Golem.de)

Kontrovers ist bis zuletzt das offizielle Lastpass-Statement, dass der Exploit stets voraussetze, einen Nutzer "über eine Phishing-Attacke" erfolgreich auf eine bösartige Webseite zu lenken, eine Darstellung, die Ormandy bestreitet. Es sei "nicht korrekt" zu sagen, der Exploit bedürfe einer erfolgreichen Phishing-Attacke. "Ich nehme an, der Blogpost [von Lastpass, A. d. R.] wurde von jemandem geschrieben, dem der Begriff Phishing unbekannt ist."

Wiederholte Probleme mit Lastpass

Der Passwort-Manager Lastpass, der im vergangenen Jahr für 125 Millionen US-Dollar von dem für seine Fernwartungssoftware bekannten US-Anbieter Logmein übernommen wurde, steht nicht das erste Mal wegen Schwachstellen in der Kritik.

Bereits im Juni 2015 war es Hackern bei einem Einbruch in die Server von Lastpass gelungen, Zugriff auf E-Mail-Adressen, Passworthinweise und Authentifizierungshashes etlicher Benutzerkonten zu erlangen. Die in der Passwortverwaltung gespeicherten Kennwörter seien damals zwar nicht betroffen gewesen, dennoch wurden alle Anwender per E-Mail aufgefordert, ihr Masterpasswort zu ändern.


eye home zur Startseite
My1 28. Jul 2016

wusste ich nicht, das letzte mal als ich keypass hatte war ewig her aber es ist...

AnonymerHH 28. Jul 2016

ja, ich finde auch das man millionen zeilen quelltext eines komplexen betriebssystems so...



Anzeige

Stellenmarkt
  1. Franke Foodservice Systems GmbH, Bad Säckingen
  2. K+S Aktiengesellschaft, Kassel
  3. Paulinenpflege Winnenden, Stuttgart
  4. MBtech Group GmbH & Co. KGaA, Ingolstadt


Anzeige
Blu-ray-Angebote
  1. inklusive Wonder Woman Comic
  2. (u. a. Underworld Awakening 9,99€, Der Hobbit 3 9,99€ und Predestination 6,97€)

Folgen Sie uns
       


  1. Apple

    Öffentliche Beta von iOS 11 erschienen

  2. SNES Classic Mini

    Nintendo bringt 20 Klassiker und ein neues Spiel

  3. Wahlprogramm

    SPD will 90 Prozent der Gebäude mit Gigabit-Netzen versorgen

  4. Erziehung

    Erst schriftliche Einwilligung, dann Whatsapp für Kinder

  5. Grafikkarte

    Sapphire bringt Radeon RX 470 für Mining

  6. Betrug

    FTTH-Betreiber wehren sich gegen Glasfaser-Werbelügen

  7. Gamescom

    Mehr Fläche, mehr Merkel und mehr Andrang

  8. Anki Cozmo ausprobiert

    Niedlicher Programmieren lernen und spielen

  9. Hyperkonvergenz

    Red Hat präsentiert freie hyperkonvergente Infrastruktur

  10. Deutsche Telekom

    Narrowband-IoT-Servicepakete ab 200 Euro



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Skull & Bones angespielt: Frischer Wind für die Segel
Skull & Bones angespielt
Frischer Wind für die Segel
  1. The Frozen Lands Eisige Erweiterung für Horizon Zero Dawn vorgestellt
  2. Rennspiele Thrustmasters T-GT-Lenkrad kostet 800 Euro
  3. Call of Duty WW2 angespielt Höllenfeuer und kleine Sprünge

Sony Xperia XZ Premium im Test: Taschenspiegel mit übertrieben gutem Display
Sony Xperia XZ Premium im Test
Taschenspiegel mit übertrieben gutem Display
  1. Keine Entschädigung Gericht sieht mobiles Internet nicht als lebenswichtig an
  2. LTE Deutsche Telekom führt HD Voice Plus ein
  3. Datenrate Vodafone bietet im LTE-Netz 500 MBit/s

1Sheeld für Arduino angetestet: Sensor-Platine hat keine Sensoren und liefert doch Daten
1Sheeld für Arduino angetestet
Sensor-Platine hat keine Sensoren und liefert doch Daten
  1. Calliope Mini im Test Neuland lernt programmieren
  2. Arduino Cinque RISC-V-Prozessor und ESP32 auf einem Board vereint
  3. MKRFOX1200 Neues Arduino-Board erscheint mit kostenlosem Datentarif

  1. Alternative: Fire TV Stick, RetroArch, 8Bitdo SNES30

    fk4711 | 03:37

  2. Re: Folge fehlender Freizeit

    redwolf | 03:28

  3. Re: Einseitig..

    plutoniumsulfat | 03:21

  4. Re: Media Markt / Saturn

    ManMashine | 03:21

  5. Nicht nur bei Kindern oder WhatsApp

    DerSkeptiker | 03:20


  1. 00:22

  2. 19:30

  3. 18:32

  4. 18:15

  5. 18:03

  6. 17:47

  7. 17:29

  8. 17:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel