Sicherheitslücke: Lastpass verriet zuletzt verwendetes Passwort an Webseiten

Über eine Sicherheitslücke im Passwortmanager Lastpass konnten Webseiten auf die zuletzt verwendeten Zugangsdaten zugreifen - von einer anderen Webseite.

Artikel veröffentlicht am ,
Lastpass auf einem iPad
Lastpass auf einem iPad (Bild: Doug Belshaw/CC-BY 2.0)

Eine Sicherheitlücke in den Browsererweiterungen des Passwortmanagers Lastpass ermöglichte es einer Webseite, die zuvor auf einer anderen Webseite verwendeten Zugangsdaten auszulesen. Entdeckt hatte die Lücke der Sicherheitsforscher Tavis Ormandy von Googles Project Zero. Lastpass hat die Sicherheitslücke in Version 4.33.0 geschlossen, die Browsererweiterungen aktualisieren sich üblicherweise automatisch. Zuerst hatte das Onlinemagazin ZDnet berichtet.

Stellenmarkt
  1. (Medien-)Informatikerin / Kommunikationswissenschaftle- rin als IT-Verantwortliche (m/w/d) ... (m/w/d)
    Max-Planck-Gesellschaft zur Förderung der Wissenschaften e.V., München
  2. IT-Controller (m/w/d)
    Verlag C.H.BECK, München Schwabing
Detailsuche

Voraussetzung für den Angriff sei, dass ein Nutzer seine Zugangsdaten mittels eines Klicks auf das Icon der Lastpass-Browsererweiterung auf einer Webseite verwendet hat, erklärt Lastpass in einem Blogeintrag. Anschließend müsse der Nutzer dazu gebracht werden, eine präparierte Webseite zu besuchen und schließlich dazu verleitet werden, mehrmals auf die Seite zu klicken, schreibt Lastpass. Es seien nur die Browsererweiterungen unter Chrome und Opera betroffen gewesen. Die wenigen Zeilen Javascript-Code, die für den Angriff notwendig sind, sowie weitere Details hat Ormandy in einem Bugreport veröffentlicht.

Im Februar entdeckte die Sicherheitsfirma Independent Security Evaluators (ISE), dass etliche Passwortmanager zwar die Datenbanken gut sichern, aber im gesperrten Zustand sensible Daten im Arbeitsspeicher hinterlassen, darunter Zugangsdaten oder das Masterpasswort. Untersucht wurden 1Password, Dashlane, Keepass und Lastpass unter Windows 10. Doch trotz der Probleme sollte nicht auf die Verwendung eines Passwortmanagers verzichtet werden oder, um es mit den Worten des Sicherheitsforschers Troy Hunt zu sagen: "Passwortmanager müssen nicht perfekt sein, sie müssen nur besser sein, als sie nicht zu benutzen."

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


harald567 04. Jul 2020

die angaben zu bitwarden in diesen blog sind falsch. bitte diesen unsinn nicht...

Truster 18. Sep 2019

Dies passiert, wenn man die option Save on Exit aktiviert hat und Windows herunter fährt...

atikalz 17. Sep 2019

Ich kenne nicht so viele LP Skandale, kläre mich auf. Bin seit zig Jahren zufriedener LP...

Anonymer Nutzer 17. Sep 2019

Wer keine lokale Datenbank will, aber sich zutraut das Teil selbst im Heimnetz oder auf...



Aktuell auf der Startseite von Golem.de
Prehistoric Planet
Danke, Apple, für so grandiose Dinosaurier!

Musik von Hans Zimmer, dazu David Attenborough als Sprecher: Apples Prehistoric Planet hat einen Kindheitstraum zum Leben erweckt.
Ein IMHO von Marc Sauter

Prehistoric Planet: Danke, Apple, für so grandiose Dinosaurier!
Artikel
  1. Star Wars: Cal Kestis kämpft in Jedi Survivor weiter
    Star Wars
    Cal Kestis kämpft in Jedi Survivor weiter

    EA hat offiziell den Nachfolger zu Star Wars Jedi Fallen Order angekündigt. Hauptfigur ist erneut Cal Kestis mit seinem Roboterkumpel BD-1.

  2. Fahrgastverband Pro Bahn: Wo das 9-Euro-Ticket sicher gilt
    Fahrgastverband Pro Bahn
    Wo das 9-Euro-Ticket sicher gilt

    Die Farbe der Züge ist entscheidend, was bei der Reiseplanung in der Deutsche-Bahn-App wenig nützt. Dafür laufen Fahrscheinkontrollen ins Leere.

  3. Retro Gaming: Wie man einen Emulator programmiert
    Retro Gaming
    Wie man einen Emulator programmiert

    Warum nicht mal selbst einen Emulator programmieren? Das ist lehrreich und macht Spaß - wenn er funktioniert. Wie es geht, zeigen wir am Gameboy.
    Von Johannes Hiltscher

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 evtl. bestellbar • Prime Video: Filme leihen für 0,99€ • Gigabyte RTX 3080 12GB günstig wie nie: 1.024€ • MSI Gaming-Monitor 32" 4K günstig wie nie: 999€ • Mindstar (u. a. AMD Ryzen 5 5600 179€, Palit RTX 3070 GamingPro 669€) • Days of Play (u. a. PS5-Controller 49,99€) [Werbung]
    •  /