• IT-Karriere:
  • Services:

Passwort-Manager: Lastpass fällt mit gleich drei Sicherheitslücken auf

Gleich drei Sicherheitslücken innerhalb einer Woche wurden im Passwort-Manager Lastpass entdeckt. Der Hersteller reagiert zwar schnell, aber eben deshalb wohl überhastet: Eine Lücke wurde nicht vollständig geschlossen, eine weitere ist noch ganz offen.

Artikel veröffentlicht am ,
Über mehrere Sicherheitslücken im Passwort-Manager Lastpass kann Schadcode ausgeführt werden.
Über mehrere Sicherheitslücken im Passwort-Manager Lastpass kann Schadcode ausgeführt werden. (Bild: Travis Ormandy)

Der Hersteller des Passwort-Managers Lastpass ist mit gleich drei Sicherheitslücken in einer Woche konfrontiert worden. Über sein Browser-Plugin lassen sich nicht nur Kennwörter auslesen, sondern auch Schadcodes ausführen. Entdeckt hat die Lücken der bekannte Sicherheitsexperte Tavis Ormandy, der bei Google Project Zero arbeitet. Ormandy lobte zwar den Lastpass-Hersteller für seine schnelle Reaktionszeit, eine Lücke wurde aber wohl zunächst nur unzureichend geschlossen.

Stellenmarkt
  1. Stadt Ingolstadt, Ingolstadt
  2. EPLAN Software & Service GmbH & Co. KG, Monheim (Köln/Düsseldorf), Stuttgart oder München

Über eine erste Lücke in der Binärcode-Version des Plugins für Chrome und Firefox hat Ormandy Lastpass bereits vergangene Woche informiert. Ein hastig veröffentlichtes Update schloss die Lücke zwar in der Version für Chrome - weitere Sicherheitsexperten meldeten jedoch, dass die Version für Firefox weiterhin angreifbar sei.

Unzureichend gepatcht

Zudem entdeckte Ormandy ein weiteres Sicherheitsproblem, das bereits 2015 erstmals auftauchte und anschließend vermeintlich behoben wurde. Ormandy gelang es jedoch, diese Lücke erneut auszunutzen- der damals bereitgestellte Patch war wohl fehlerhaft. Beide Lücken sind inzwischen mit Hilfe Ormandys ordentlich geschlossen worden. Updates wurden bereits veröffentlicht.

Jetzt hat Ormandy aber eine weitere Lücke in Lastpass entdeckt, für die es noch kein Update gibt. Sie betreffe Version 4.1.43 für Chrome, heißt es in einem Twitter-Post Ormandys. Die Schwachstelle sei ihm beim Duschen eingefallen. In einem Blogeintrag rät das Unternehmen dazu, derweil von Lastpass verwaltete Webseiten direkt aus dem Vault der Software aufzurufen, bis der Fehler behoben ist. Außerdem weist Latspass auf zwei Allgemeinplätze hin: Zum einen sollten Anwender wo möglich die Zwei-Faktor-Authentifizierung verwenden und sich vor Phishing-Seiten in Acht nehmen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. 555,55€ (zzgl. Versandkosten)
  2. (reduzierte Überstände, Restposten & Co.)

Yeeeeeeeeha 28. Mär 2017

Software wird nicht automatisch besser, wenn sie Open Source ist. Software wird besser...


Folgen Sie uns
       


Tolino Vision 5 HD und Epos 2 im Hands On

Tolino zeigt mit Vision 5 HD und Epos 2 zwei neue Oberklasse-E-Book-Reader. Der Epos 2 kann durch ein besonders dünnes Display begeistern.

Tolino Vision 5 HD und Epos 2 im Hands On Video aufrufen
VW-Logistikplattform Rio: Mehr Fracht transportieren mit weniger Lkw
VW-Logistikplattform Rio
Mehr Fracht transportieren mit weniger Lkw

Im Online-Handel ist das Tracking einer Bestellung längst Realität. In der Speditionsbranche sieht es oft anders aus: Silo-Denken, viele Kleinunternehmen und Vorbehalte gegenüber der Digitalisierung bremsen den Fortschritt. Das möchte Rio mit seiner Cloud-Lösung und niedrigen Preisen ändern.
Ein Bericht von Dirk Kunde

  1. Vernetzte Mobilität Verkehrsunternehmen könnten Datenaustauschpflicht bekommen
  2. Studie Uber und Lyft verschlechtern den Stadtverkehr
  3. Diesel-Ersatz Baden-Württemberg beschafft Akku-Elektrotriebzüge Mireo

Minikonsolen im Video-Vergleichstest: Die sieben sinnlosen Zwerge
Minikonsolen im Video-Vergleichstest
Die sieben sinnlosen Zwerge

Golem retro_ Eigentlich sollten wir die kleinen Retrokonsolen mögen. Aber bei mittelmäßiger Emulation, schlechter Steuerung und Verarbeitung wollten wir beim Testen mitunter über die sieben Berge flüchten.
Ein Test von Martin Wolf


    Staupilot: Der Zulassungsstau löst sich langsam auf
    Staupilot
    Der Zulassungsstau löst sich langsam auf

    Nach jahrelangen Verhandlungen soll es demnächst internationale Zulassungskriterien für hochautomatisierte Autos geben. Bei höheren Automatisierungsgraden strebt die Bundesregierung aber einen nationalen Alleingang an.
    Ein Bericht von Friedhelm Greis

    1. San José Bosch und Daimler starten autonomen Taxidienst
    2. Autonomes Fahren Ermittler geben Testfahrerin Hauptschuld an Uber-Unfall
    3. Ermittlungsberichte Wie die Uber-Software den tödlichen Unfall begünstigte

      •  /