Abo
  • IT-Karriere:

Sicherheitslücke: Lastpass verriet zuletzt verwendetes Passwort an Webseiten

Über eine Sicherheitslücke im Passwortmanager Lastpass konnten Webseiten auf die zuletzt verwendeten Zugangsdaten zugreifen - von einer anderen Webseite.

Artikel veröffentlicht am ,
Lastpass auf einem iPad
Lastpass auf einem iPad (Bild: Doug Belshaw/CC-BY 2.0)

Eine Sicherheitlücke in den Browsererweiterungen des Passwortmanagers Lastpass ermöglichte es einer Webseite, die zuvor auf einer anderen Webseite verwendeten Zugangsdaten auszulesen. Entdeckt hatte die Lücke der Sicherheitsforscher Tavis Ormandy von Googles Project Zero. Lastpass hat die Sicherheitslücke in Version 4.33.0 geschlossen, die Browsererweiterungen aktualisieren sich üblicherweise automatisch. Zuerst hatte das Onlinemagazin ZDnet berichtet.

Stellenmarkt
  1. Techniker Krankenkasse, Hamburg
  2. thyssenkrupp System Engineering GmbH, Hohenstein-Ernstthal, Heilbronn

Voraussetzung für den Angriff sei, dass ein Nutzer seine Zugangsdaten mittels eines Klicks auf das Icon der Lastpass-Browsererweiterung auf einer Webseite verwendet hat, erklärt Lastpass in einem Blogeintrag. Anschließend müsse der Nutzer dazu gebracht werden, eine präparierte Webseite zu besuchen und schließlich dazu verleitet werden, mehrmals auf die Seite zu klicken, schreibt Lastpass. Es seien nur die Browsererweiterungen unter Chrome und Opera betroffen gewesen. Die wenigen Zeilen Javascript-Code, die für den Angriff notwendig sind, sowie weitere Details hat Ormandy in einem Bugreport veröffentlicht.

Im Februar entdeckte die Sicherheitsfirma Independent Security Evaluators (ISE), dass etliche Passwortmanager zwar die Datenbanken gut sichern, aber im gesperrten Zustand sensible Daten im Arbeitsspeicher hinterlassen, darunter Zugangsdaten oder das Masterpasswort. Untersucht wurden 1Password, Dashlane, Keepass und Lastpass unter Windows 10. Doch trotz der Probleme sollte nicht auf die Verwendung eines Passwortmanagers verzichtet werden oder, um es mit den Worten des Sicherheitsforschers Troy Hunt zu sagen: "Passwortmanager müssen nicht perfekt sein, sie müssen nur besser sein, als sie nicht zu benutzen."



Anzeige
Top-Angebote
  1. 39,99€ (Release am 3. Dezember)
  2. (aktuell u. a. Corsair Glaive RGB Gaming-Maus für 32,99€, Microsoft Office 365 Home 1 Jahr für...
  3. (u. a. HP 34f Curved Monitor für 389,00€, Acer 32 Zoll Curved Monitor für 222,00€, Seasonic...
  4. (u. a. Star Wars Battlefront 2 für 9,49€, PSN Card 20 Euro für 18,99€)

Truster 18. Sep 2019 / Themenstart

Dies passiert, wenn man die option Save on Exit aktiviert hat und Windows herunter fährt...

atikalz 17. Sep 2019 / Themenstart

Ich kenne nicht so viele LP Skandale, kläre mich auf. Bin seit zig Jahren zufriedener LP...

Truster 17. Sep 2019 / Themenstart

Ih verwende Keepass2 am PC und Keepass2Android am Smartphone. Browser Implementierung...

Anonymer Nutzer 17. Sep 2019 / Themenstart

Wer keine lokale Datenbank will, aber sich zutraut das Teil selbst im Heimnetz oder auf...

Kommentieren


Folgen Sie uns
       


HP Pavilion Gaming 15 - Fazit

Das Pavilion Gaming 15 ist für 1.000 Euro ein gut ausgestattetes und durchaus flottes Spiele-Notebook.

HP Pavilion Gaming 15 - Fazit Video aufrufen
Change-Management: Die Zeiten, sie, äh, ändern sich
Change-Management
Die Zeiten, sie, äh, ändern sich

Einen Change zu wollen, gehört heute zum guten Ton in der Unternehmensführung. Doch ein erzwungener Wandel in der Firmenkultur löst oft keine Probleme und schafft sogar neue.
Ein Erfahrungsbericht von Marvin Engel

  1. IT-Jobs Der Amtsschimmel wiehert jetzt agil
  2. MINT Werden Frauen überfördert?
  3. Recruiting Wenn das eigene Wachstum zur Herausforderung wird

Rohstoffe: Lithium aus dem heißen Untergrund
Rohstoffe
Lithium aus dem heißen Untergrund

Liefern Geothermiekraftwerke in Südwestdeutschland bald nicht nur Strom und Wärme, sondern auch einen wichtigen Rohstoff für die Akkus von Smartphones, Tablets und Elektroautos? Das Thermalwasser hat einen so hohen Gehalt an Lithium, dass sich ein Abbau lohnen könnte. Doch es gibt auch Gegner.
Ein Bericht von Werner Pluta

  1. Wasserkraft Strom aus dem Strom
  2. Energie Wie Mikroben Methan mit Windstrom produzieren
  3. Erneuerbare Energien Die Energiewende braucht Wasserstoff

IT-Sicherheit: Auch kleine Netze brauchen eine Firewall
IT-Sicherheit
Auch kleine Netze brauchen eine Firewall

Unternehmen mit kleinem Geldbeutel verzichten häufig auf eine Firewall. Das sollten sie aber nicht tun, wenn ihnen die Sicherheit ihres Netzwerks wichtig ist.
Von Götz Güttich

  1. Anzeige Wo Daten wirklich sicher liegen
  2. Erasure Coding Das Ende von Raid kommt durch Mathematik
  3. Endpoint Security IT-Sicherheit ist ein Cocktail mit vielen Zutaten

    •  /