Abo
  • Services:

Passwort-Manager: Lastpass fällt mit gleich drei Sicherheitslücken auf

Gleich drei Sicherheitslücken innerhalb einer Woche wurden im Passwort-Manager Lastpass entdeckt. Der Hersteller reagiert zwar schnell, aber eben deshalb wohl überhastet: Eine Lücke wurde nicht vollständig geschlossen, eine weitere ist noch ganz offen.

Artikel veröffentlicht am ,
Über mehrere Sicherheitslücken im Passwort-Manager Lastpass kann Schadcode ausgeführt werden.
Über mehrere Sicherheitslücken im Passwort-Manager Lastpass kann Schadcode ausgeführt werden. (Bild: Travis Ormandy)

Der Hersteller des Passwort-Managers Lastpass ist mit gleich drei Sicherheitslücken in einer Woche konfrontiert worden. Über sein Browser-Plugin lassen sich nicht nur Kennwörter auslesen, sondern auch Schadcodes ausführen. Entdeckt hat die Lücken der bekannte Sicherheitsexperte Tavis Ormandy, der bei Google Project Zero arbeitet. Ormandy lobte zwar den Lastpass-Hersteller für seine schnelle Reaktionszeit, eine Lücke wurde aber wohl zunächst nur unzureichend geschlossen.

Stellenmarkt
  1. Dataport, Altenholz bei Kiel, Hamburg
  2. SCISYS Deutschland GmbH, Bochum

Über eine erste Lücke in der Binärcode-Version des Plugins für Chrome und Firefox hat Ormandy Lastpass bereits vergangene Woche informiert. Ein hastig veröffentlichtes Update schloss die Lücke zwar in der Version für Chrome - weitere Sicherheitsexperten meldeten jedoch, dass die Version für Firefox weiterhin angreifbar sei.

Unzureichend gepatcht

Zudem entdeckte Ormandy ein weiteres Sicherheitsproblem, das bereits 2015 erstmals auftauchte und anschließend vermeintlich behoben wurde. Ormandy gelang es jedoch, diese Lücke erneut auszunutzen- der damals bereitgestellte Patch war wohl fehlerhaft. Beide Lücken sind inzwischen mit Hilfe Ormandys ordentlich geschlossen worden. Updates wurden bereits veröffentlicht.

Jetzt hat Ormandy aber eine weitere Lücke in Lastpass entdeckt, für die es noch kein Update gibt. Sie betreffe Version 4.1.43 für Chrome, heißt es in einem Twitter-Post Ormandys. Die Schwachstelle sei ihm beim Duschen eingefallen. In einem Blogeintrag rät das Unternehmen dazu, derweil von Lastpass verwaltete Webseiten direkt aus dem Vault der Software aufzurufen, bis der Fehler behoben ist. Außerdem weist Latspass auf zwei Allgemeinplätze hin: Zum einen sollten Anwender wo möglich die Zwei-Faktor-Authentifizierung verwenden und sich vor Phishing-Seiten in Acht nehmen.



Anzeige
Blu-ray-Angebote
  1. (u. a. John Wick, Sicario, Deepwater Horizon, Die große Asterix Edition, Die Tribute von Panem)

Yeeeeeeeeha 28. Mär 2017

Software wird nicht automatisch besser, wenn sie Open Source ist. Software wird besser...


Folgen Sie uns
       


Forza Horizon 4 - Golem.de Live (Teil 1)

Michael zeigt alle Jahreszeiten und Spielmodi in Forza Horizon 4.

Forza Horizon 4 - Golem.de Live (Teil 1) Video aufrufen
Pixel 3 XL im Test: Algorithmen können nicht alles
Pixel 3 XL im Test
Algorithmen können nicht alles

Google setzt beim Pixel 3 XL alles auf die Kamera, die dank neuer Algorithmen nicht nur automatisch blinzlerfreie Bilder ermitteln, sondern auch einen besonders scharfen Digitalzoom haben soll. Im Test haben wir allerdings festgestellt, dass auch die beste Software keine Dual- oder Dreifachkamera ersetzen kann.
Ein Test von Tobias Költzsch

  1. Dragonfly Google schweigt zu China-Plänen
  2. Nach Milliardenstrafe Google will Android-Verträge offenbar anpassen
  3. Google Android Studio 3.2 unterstützt Android 9 und App Bundles

Mate 20 Pro im Hands on: Huawei bringt drei Brennweiten und mehr für 1.000 Euro
Mate 20 Pro im Hands on
Huawei bringt drei Brennweiten und mehr für 1.000 Euro

Huawei hat mit dem Mate 20 Pro seine Dreifachkamera überarbeitet: Der monochrome Sensor ist einer Ultraweitwinkelkamera gewichen. Gleichzeitig bietet das Smartphone zahlreiche technische Extras wie einen Fingerabdrucksensor unter dem Display und einen sehr leistungsfähigen Schnelllader.
Ein Hands on von Tobias Költzsch

  1. Keine Spionagepanik Regierung wird chinesische 5G-Ausrüster nicht ausschließen
  2. Watch GT Huawei bringt Smartwatch ohne Wear OS auf den Markt
  3. Ascend 910/310 Huaweis AI-Chips sollen Google und Nvidia schlagen

Shine 3: Neuer Tolino-Reader bringt mehr Lesekomfort
Shine 3
Neuer Tolino-Reader bringt mehr Lesekomfort

Die Tolino-Allianz bringt das Nachfolgemodell des Shine 2 HD auf den Markt. Das Shine 3 erhält mehr Ausstattungsdetails aus der E-Book-Reader-Oberklasse. Vor allem beim Lesen macht sich das positiv bemerkbar.
Ein Hands on von Ingo Pakalski

  1. E-Book-Reader Update macht Tolino-Geräte unbrauchbar

    •  /