Abo
  • Services:
Anzeige
Über mehrere Sicherheitslücken im Passwort-Manager Lastpass kann Schadcode ausgeführt werden.
Über mehrere Sicherheitslücken im Passwort-Manager Lastpass kann Schadcode ausgeführt werden. (Bild: Travis Ormandy)

Passwort-Manager: Lastpass fällt mit gleich drei Sicherheitslücken auf

Über mehrere Sicherheitslücken im Passwort-Manager Lastpass kann Schadcode ausgeführt werden.
Über mehrere Sicherheitslücken im Passwort-Manager Lastpass kann Schadcode ausgeführt werden. (Bild: Travis Ormandy)

Gleich drei Sicherheitslücken innerhalb einer Woche wurden im Passwort-Manager Lastpass entdeckt. Der Hersteller reagiert zwar schnell, aber eben deshalb wohl überhastet: Eine Lücke wurde nicht vollständig geschlossen, eine weitere ist noch ganz offen.

Der Hersteller des Passwort-Managers Lastpass ist mit gleich drei Sicherheitslücken in einer Woche konfrontiert worden. Über sein Browser-Plugin lassen sich nicht nur Kennwörter auslesen, sondern auch Schadcodes ausführen. Entdeckt hat die Lücken der bekannte Sicherheitsexperte Tavis Ormandy, der bei Google Project Zero arbeitet. Ormandy lobte zwar den Lastpass-Hersteller für seine schnelle Reaktionszeit, eine Lücke wurde aber wohl zunächst nur unzureichend geschlossen.

Anzeige

Über eine erste Lücke in der Binärcode-Version des Plugins für Chrome und Firefox hat Ormandy Lastpass bereits vergangene Woche informiert. Ein hastig veröffentlichtes Update schloss die Lücke zwar in der Version für Chrome - weitere Sicherheitsexperten meldeten jedoch, dass die Version für Firefox weiterhin angreifbar sei.

Unzureichend gepatcht

Zudem entdeckte Ormandy ein weiteres Sicherheitsproblem, das bereits 2015 erstmals auftauchte und anschließend vermeintlich behoben wurde. Ormandy gelang es jedoch, diese Lücke erneut auszunutzen- der damals bereitgestellte Patch war wohl fehlerhaft. Beide Lücken sind inzwischen mit Hilfe Ormandys ordentlich geschlossen worden. Updates wurden bereits veröffentlicht.

Jetzt hat Ormandy aber eine weitere Lücke in Lastpass entdeckt, für die es noch kein Update gibt. Sie betreffe Version 4.1.43 für Chrome, heißt es in einem Twitter-Post Ormandys. Die Schwachstelle sei ihm beim Duschen eingefallen. In einem Blogeintrag rät das Unternehmen dazu, derweil von Lastpass verwaltete Webseiten direkt aus dem Vault der Software aufzurufen, bis der Fehler behoben ist. Außerdem weist Latspass auf zwei Allgemeinplätze hin: Zum einen sollten Anwender wo möglich die Zwei-Faktor-Authentifizierung verwenden und sich vor Phishing-Seiten in Acht nehmen.


eye home zur Startseite
Yeeeeeeeeha 28. Mär 2017

Software wird nicht automatisch besser, wenn sie Open Source ist. Software wird besser...



Anzeige

Stellenmarkt
  1. über Hanseatisches Personalkontor Osnabrück, Westmünsterland
  2. Tetra GmbH, Melle
  3. Dataport, Hamburg, Bremen
  4. Computacenter AG & Co. oHG, Frankfurt


Anzeige
Hardware-Angebote
  1. 129,99€ (219,98€ für zwei)
  2. 1.499,00€

Folgen Sie uns
       


  1. DLD-Konferenz

    Gabriel warnt vor digitalem Schlachtfeld Europa

  2. NetzDG

    Streit mit EU über 100-Prozent-Löschquote in Deutschland

  3. Facebook

    Nutzer sollen Vertrauenswürdigkeit von Newsquellen bewerten

  4. Notebook-Grafik

    Nvidia hat eine Geforce GTX 1050 (Ti) mit Max-Q

  5. Gemini Lake

    Asrock und Gigabyte bringen Atom-Boards

  6. Eni HPC4

    Italienischer Supercomputer weltweit einer der schnellsten

  7. US-Wahl 2016

    Twitter findet weitere russische Manipulationskonten

  8. Die Woche im Video

    Das muss doch einfach schneller gehen!

  9. Breko

    Waipu TV gibt es jetzt für alle Netzbetreiber

  10. Magento

    Kreditkartendaten von bis zu 40.000 Oneplus-Käufern kopiert



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Computerforschung: Quantencomputer aus Silizium werden realistisch
Computerforschung
Quantencomputer aus Silizium werden realistisch
  1. Tangle Lake Intel zeigt 49-Qubit-Chip
  2. Die Woche im Video Alles kaputt
  3. Q# und QDK Microsoft veröffentlicht Entwicklungskit für Quantenrechner

Netzsperren: Wie Katalonien die spanische Internetzensur austrickste
Netzsperren
Wie Katalonien die spanische Internetzensur austrickste

Spectre und Meltdown: All unsere moderne Technik ist kaputt
Spectre und Meltdown
All unsere moderne Technik ist kaputt
  1. Sicherheitsupdate Microsoft-Compiler baut Schutz gegen Spectre
  2. BeA Noch mehr Sicherheitslücken im Anwaltspostfach
  3. VEP Charter Trump will etwas transparenter mit Sicherheitslücken umgehen

  1. Re: Wenn man sich anschaut, wie grade radikale...

    Der Held vom... | 13:41

  2. Mehr Ärzte und Ingenieure braucht das Land

    Gandalf2210 | 13:39

  3. Re: DOW Jones +30% in nur einem Jahr

    Baron Münchhausen. | 13:37

  4. Gut, dass wir Politiker wie Sigmar Gabriel haben

    Boa-Teng | 13:36

  5. Re: Grüner Populisten Bullshit

    M.P. | 13:32


  1. 13:15

  2. 12:31

  3. 14:35

  4. 14:00

  5. 13:30

  6. 12:57

  7. 12:26

  8. 09:02


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel