• IT-Karriere:
  • Services:

Sicherheitslücke: Lastpass verriet zuletzt verwendetes Passwort an Webseiten

Über eine Sicherheitslücke im Passwortmanager Lastpass konnten Webseiten auf die zuletzt verwendeten Zugangsdaten zugreifen - von einer anderen Webseite.

Artikel veröffentlicht am ,
Lastpass auf einem iPad
Lastpass auf einem iPad (Bild: Doug Belshaw/CC-BY 2.0)

Eine Sicherheitlücke in den Browsererweiterungen des Passwortmanagers Lastpass ermöglichte es einer Webseite, die zuvor auf einer anderen Webseite verwendeten Zugangsdaten auszulesen. Entdeckt hatte die Lücke der Sicherheitsforscher Tavis Ormandy von Googles Project Zero. Lastpass hat die Sicherheitslücke in Version 4.33.0 geschlossen, die Browsererweiterungen aktualisieren sich üblicherweise automatisch. Zuerst hatte das Onlinemagazin ZDnet berichtet.

Stellenmarkt
  1. NOVENTI HealthCare GmbH, München
  2. Dataport, Bremen, Magdeburg, Hamburg

Voraussetzung für den Angriff sei, dass ein Nutzer seine Zugangsdaten mittels eines Klicks auf das Icon der Lastpass-Browsererweiterung auf einer Webseite verwendet hat, erklärt Lastpass in einem Blogeintrag. Anschließend müsse der Nutzer dazu gebracht werden, eine präparierte Webseite zu besuchen und schließlich dazu verleitet werden, mehrmals auf die Seite zu klicken, schreibt Lastpass. Es seien nur die Browsererweiterungen unter Chrome und Opera betroffen gewesen. Die wenigen Zeilen Javascript-Code, die für den Angriff notwendig sind, sowie weitere Details hat Ormandy in einem Bugreport veröffentlicht.

Im Februar entdeckte die Sicherheitsfirma Independent Security Evaluators (ISE), dass etliche Passwortmanager zwar die Datenbanken gut sichern, aber im gesperrten Zustand sensible Daten im Arbeitsspeicher hinterlassen, darunter Zugangsdaten oder das Masterpasswort. Untersucht wurden 1Password, Dashlane, Keepass und Lastpass unter Windows 10. Doch trotz der Probleme sollte nicht auf die Verwendung eines Passwortmanagers verzichtet werden oder, um es mit den Worten des Sicherheitsforschers Troy Hunt zu sagen: "Passwortmanager müssen nicht perfekt sein, sie müssen nur besser sein, als sie nicht zu benutzen."

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. (u. a. Asus Rog Strix X570-F + Ryzen 7 3700X für 555,00€, Asus Tuf B450-Plus + Ryzen 7 2700 für...
  2. 419,00€ (Bestpreis!)

Truster 18. Sep 2019 / Themenstart

Dies passiert, wenn man die option Save on Exit aktiviert hat und Windows herunter fährt...

atikalz 17. Sep 2019 / Themenstart

Ich kenne nicht so viele LP Skandale, kläre mich auf. Bin seit zig Jahren zufriedener LP...

Truster 17. Sep 2019 / Themenstart

Ih verwende Keepass2 am PC und Keepass2Android am Smartphone. Browser Implementierung...

Anonymer Nutzer 17. Sep 2019 / Themenstart

Wer keine lokale Datenbank will, aber sich zutraut das Teil selbst im Heimnetz oder auf...

Kommentieren


Folgen Sie uns
       


Google Pixel 4 und Pixel 4 XL ausprobiert

Google hat seine neuen Pixel-Smartphones vorgestellt: Im ersten Hands on machen das Pixel 4 und das Pixel 4 XL einen guten Eindruck.

Google Pixel 4 und Pixel 4 XL ausprobiert Video aufrufen
Amazon Echo Studio im Test: Homepod-Bezwinger begeistert auch als Fire-TV-Lautsprecher
Amazon Echo Studio im Test
Homepod-Bezwinger begeistert auch als Fire-TV-Lautsprecher

Mit dem Echo Studio bringt Amazon seinen teuersten Alexa-Lautsprecher auf den Markt. Dennoch ist er deutlich günstiger als Apples Homepod, liefert aber einen besseren Klang. Und das ist längst nicht alles.
Ein Test von Ingo Pakalski

  1. Amazons Heimkino-Funktion Echo-Lautsprecher drahtlos mit Fire-TV-Geräten verbinden
  2. Echo Flex Amazons preiswertester Alexa-Lautsprecher
  3. Amazons Alexa-Lautsprecher Echo Dot hat ein LED-Display - Echo soll besser klingen

Power-to-X: Sprit aus Ökostrom, Luft und Wasser
Power-to-X
Sprit aus Ökostrom, Luft und Wasser

Die Energiewende ist ohne synthetische Treibstoffe nicht zu schaffen. In Karlsruhe ist eine Anlage in Betrieb gegangen, die das mithilfe von teilweise völlig neuen Techniken schafft.
Ein Bericht von Wolfgang Kempkens

  1. The Ocean Cleanup Interceptor fischt Plastikmüll aus Flüssen
  2. The Ocean Cleanup Überarbeiteter Müllfänger sammelt Plastikteile im Pazifik

Frauen in der IT: Ist Logik von Natur aus Männersache?
Frauen in der IT
Ist Logik von Natur aus Männersache?

Wenn es um die Frage geht, warum es immer noch so wenig Frauen in der IT gibt, kommt früher oder später das Argument, dass Frauen nicht eben zur Logik veranlagt seien. Kann die niedrige Zahl von Frauen in dieser Branche tatsächlich mit der Biologie erklärt werden?
Von Valerie Lux

  1. IT-Jobs Gibt es den Fachkräftemangel wirklich?
  2. Arbeit im Amt Wichtig ist ein Talent zum Zeittotschlagen
  3. IT-Freelancer Paradiesische Zustände

    •  /