Passwort-Manager: Lastpass fällt mit gleich drei Sicherheitslücken auf

Gleich drei Sicherheitslücken innerhalb einer Woche wurden im Passwort-Manager Lastpass entdeckt. Der Hersteller reagiert zwar schnell, aber eben deshalb wohl überhastet: Eine Lücke wurde nicht vollständig geschlossen, eine weitere ist noch ganz offen.

Artikel veröffentlicht am ,
Über mehrere Sicherheitslücken im Passwort-Manager Lastpass kann Schadcode ausgeführt werden.
Über mehrere Sicherheitslücken im Passwort-Manager Lastpass kann Schadcode ausgeführt werden. (Bild: Travis Ormandy)

Der Hersteller des Passwort-Managers Lastpass ist mit gleich drei Sicherheitslücken in einer Woche konfrontiert worden. Über sein Browser-Plugin lassen sich nicht nur Kennwörter auslesen, sondern auch Schadcodes ausführen. Entdeckt hat die Lücken der bekannte Sicherheitsexperte Tavis Ormandy, der bei Google Project Zero arbeitet. Ormandy lobte zwar den Lastpass-Hersteller für seine schnelle Reaktionszeit, eine Lücke wurde aber wohl zunächst nur unzureichend geschlossen.

Über eine erste Lücke in der Binärcode-Version des Plugins für Chrome und Firefox hat Ormandy Lastpass bereits vergangene Woche informiert. Ein hastig veröffentlichtes Update schloss die Lücke zwar in der Version für Chrome - weitere Sicherheitsexperten meldeten jedoch, dass die Version für Firefox weiterhin angreifbar sei.

Unzureichend gepatcht

Zudem entdeckte Ormandy ein weiteres Sicherheitsproblem, das bereits 2015 erstmals auftauchte und anschließend vermeintlich behoben wurde. Ormandy gelang es jedoch, diese Lücke erneut auszunutzen- der damals bereitgestellte Patch war wohl fehlerhaft. Beide Lücken sind inzwischen mit Hilfe Ormandys ordentlich geschlossen worden. Updates wurden bereits veröffentlicht.

Jetzt hat Ormandy aber eine weitere Lücke in Lastpass entdeckt, für die es noch kein Update gibt. Sie betreffe Version 4.1.43 für Chrome, heißt es in einem Twitter-Post Ormandys. Die Schwachstelle sei ihm beim Duschen eingefallen. In einem Blogeintrag rät das Unternehmen dazu, derweil von Lastpass verwaltete Webseiten direkt aus dem Vault der Software aufzurufen, bis der Fehler behoben ist. Außerdem weist Latspass auf zwei Allgemeinplätze hin: Zum einen sollten Anwender wo möglich die Zwei-Faktor-Authentifizierung verwenden und sich vor Phishing-Seiten in Acht nehmen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
OpenAI
Girlfriend-Chatbots verstoßen gegen die Regeln des GPT-Store

Nur einen Tag, nachdem OpenAI ChatGPT für Entwickler geöffnet hat, lassen sich Angebote finden, die es nicht geben dürfte.

OpenAI: Girlfriend-Chatbots verstoßen gegen die Regeln des GPT-Store
Artikel
  1. E-Corner: Hyundai entwickelt Klappräder zum seitlichen Einparken
    E-Corner
    Hyundai entwickelt Klappräder zum seitlichen Einparken

    Die Hyundai-Tochter Mobis präsentiert eine Technik, mit der sich die Autoräder seitlich drehen lassen, um das parallele Einparken zu erleichtern.

  2. AVM: Huawei-Patent kommt in Fritzboxen nicht zum Einsatz
    AVM
    Huawei-Patent kommt in Fritzboxen nicht "zum Einsatz"

    Huawei hat einen großen Patentpool zu Wi-Fi 6. Fritzbox-Hersteller AVM hat die Patente nach eigenen Angaben in seinen Wi-Fi-6-Routern nicht genutzt, will sie aber dennoch für ungültig erklären lassen.

  3. Blockade des Roten Meeres: Volvo stoppt Elektroautoproduktion wegen Huthi-Angriffen
    Blockade des Roten Meeres
    Volvo stoppt Elektroautoproduktion wegen Huthi-Angriffen

    Volvo stoppt die E-Auto-Produktion in Gent, weil Lieferprobleme durch die Blockade des Roten Meeres durch Huthis im Jemen entstanden sind.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Lenovo 34" 21:9 Curved WQHD 299€ • ASRock RX 7900 XTX 1.039,18€ • War Hospital 21,59€ • Amazon-Geräte -50% • Acer 34" OLED UWQHD 175Hz 999€ • PS5 + Spider-Man 2 569€ • AMD Ryzen 9 5950X 379€ • Switch-Controller 17,84€ • AOC 27" QHD 165Hz 229€ • 3 Spiele für 49€ [Werbung]
    •  /