Abo
  • Services:

Passwort-Manager: Lastpass fällt mit gleich drei Sicherheitslücken auf

Gleich drei Sicherheitslücken innerhalb einer Woche wurden im Passwort-Manager Lastpass entdeckt. Der Hersteller reagiert zwar schnell, aber eben deshalb wohl überhastet: Eine Lücke wurde nicht vollständig geschlossen, eine weitere ist noch ganz offen.

Artikel veröffentlicht am ,
Über mehrere Sicherheitslücken im Passwort-Manager Lastpass kann Schadcode ausgeführt werden.
Über mehrere Sicherheitslücken im Passwort-Manager Lastpass kann Schadcode ausgeführt werden. (Bild: Travis Ormandy)

Der Hersteller des Passwort-Managers Lastpass ist mit gleich drei Sicherheitslücken in einer Woche konfrontiert worden. Über sein Browser-Plugin lassen sich nicht nur Kennwörter auslesen, sondern auch Schadcodes ausführen. Entdeckt hat die Lücken der bekannte Sicherheitsexperte Tavis Ormandy, der bei Google Project Zero arbeitet. Ormandy lobte zwar den Lastpass-Hersteller für seine schnelle Reaktionszeit, eine Lücke wurde aber wohl zunächst nur unzureichend geschlossen.

Stellenmarkt
  1. EnBW Kernkraft GmbH, Philippsburg, Neckarwestheim
  2. barox Kommunikation AG über HRM CONSULTING GmbH, deutschlandweit (Home-Office)

Über eine erste Lücke in der Binärcode-Version des Plugins für Chrome und Firefox hat Ormandy Lastpass bereits vergangene Woche informiert. Ein hastig veröffentlichtes Update schloss die Lücke zwar in der Version für Chrome - weitere Sicherheitsexperten meldeten jedoch, dass die Version für Firefox weiterhin angreifbar sei.

Unzureichend gepatcht

Zudem entdeckte Ormandy ein weiteres Sicherheitsproblem, das bereits 2015 erstmals auftauchte und anschließend vermeintlich behoben wurde. Ormandy gelang es jedoch, diese Lücke erneut auszunutzen- der damals bereitgestellte Patch war wohl fehlerhaft. Beide Lücken sind inzwischen mit Hilfe Ormandys ordentlich geschlossen worden. Updates wurden bereits veröffentlicht.

Jetzt hat Ormandy aber eine weitere Lücke in Lastpass entdeckt, für die es noch kein Update gibt. Sie betreffe Version 4.1.43 für Chrome, heißt es in einem Twitter-Post Ormandys. Die Schwachstelle sei ihm beim Duschen eingefallen. In einem Blogeintrag rät das Unternehmen dazu, derweil von Lastpass verwaltete Webseiten direkt aus dem Vault der Software aufzurufen, bis der Fehler behoben ist. Außerdem weist Latspass auf zwei Allgemeinplätze hin: Zum einen sollten Anwender wo möglich die Zwei-Faktor-Authentifizierung verwenden und sich vor Phishing-Seiten in Acht nehmen.



Anzeige
Spiele-Angebote
  1. 54,99€ mit Vorbesteller-Preisgarantie
  2. 2,99€
  3. (u. a. Assassin's Creed Origins PC für 29€)
  4. 14,99€ + 1,99€ Versand oder Abholung im Markt

Yeeeeeeeeha 28. Mär 2017

Software wird nicht automatisch besser, wenn sie Open Source ist. Software wird besser...


Folgen Sie uns
       


Blackberry Key 2 - Hands on

Das Key2 ist das Nachfolgemodell des Keyone. Das Grundprinzip ist gleich. Im unteren Gehäuseteil gibt es eine fest verbaute Hardware-Tastatur. Darüber befindet sich ein Display im 3:2-Format. Das Schreiben auf der Tastatur ist angenehm. Im Juli 2018 kommt das Key2 zum Preis von 650 Euro auf den Markt.

Blackberry Key 2 - Hands on Video aufrufen
Esa: Sonnensystemforschung ohne Plutonium
Esa
Sonnensystemforschung ohne Plutonium

Forscher der Esa arbeiten an Radioisotopenbatterien, die ohne das knappe und aufwendig herzustellende Plutonium-238 auskommen. Stattdessen soll Americium-241 aus abgebrannten Brennstäben von Kernkraftwerken zum Einsatz kommen. Ein erster Prototyp ist bereits fertig.
Von Frank Wunderlich-Pfeiffer

  1. Raumfahrt Die Digitalisierung des Weltraums
  2. Raumfahrt Mann überprüft mit Rakete, ob die Erde eine Scheibe ist
  3. Raumfahrt Falsch abgebogen wegen Eingabefehler

Battlefield 5 Closed Alpha angespielt: Schneller sterben, länger tot
Battlefield 5 Closed Alpha angespielt
Schneller sterben, länger tot

Das neue Battlefield bekommt ein bisschen was von Fortnite und wird allgemein realistischer und dynamischer. Wir konnten in der Closed Alpha Eindrücke sammeln und erklären die Änderungen.
Von Michael Wieczorek

  1. Battlefield 5 Mehr Reaktionsmöglichkeiten statt schwächerer Munition
  2. Battlefield 5 Closed Alpha startet mit neuen Systemanforderungen
  3. Battlefield 5 Schatzkisten und Systemanforderungen

VR-Rundschau: Retten rockende Jedi-Ritter die virtuelle Realität?
VR-Rundschau
Retten rockende Jedi-Ritter die virtuelle Realität?

Der mediale Hype um VR ist zwar abgeflaut, spannende Inhalte dafür gibt es aber weiterhin - und das nicht nur im Games-Bereich. Mit dabei: das beliebteste Spiel bei Steam, Jedi-Ritter auf Speed und ägyptische Grabkammern.
Ein Test von Achim Fehrenbach

  1. Grafikkarten Virtual Link via USB-C für Next-Gen-Headsets
  2. Oculus Core 2.0 Windows 10 wird Minimalanforderung für Oculus Rift
  3. Virtual Reality BBC überträgt Fußball-WM in der virtuellen VIP-Loge

    •  /