Passwort Manager: Lastpass behebt kritische Lücke

Die gestern von Tavis Ormandy gemeldete kritische Schwachstelle im Passwort-Manager Lastpass ist nach Angaben des Unternehmens inzwischen geschlossen worden. Ein neue Lastpass-Version soll unter Firefox bereitstehen.

Artikel veröffentlicht am ,
Passwort Manager: Lastpass behebt kritische Lücke
(Bild: Lastpass)

In einem Blogeintrag hat Lastpass eine gemeldete Sicherheitslücke bestätigt und die sofortige Verfügbarkeit der gefixten Version 4.1.21a der betroffenen Firefox-Erweiterung angekündigt. Die Aktualisierung werde normalerweise automatisch an Lastpass-Nutzer unter Firefox verteilt, Eilige könnten das Update aber auch durch einen Besuch der Lastpass-Webseite anstoßen.

Die erst kürzlich von Sicherheitsforscher Tavis Ormandy entdeckte kritische Lücke, die offenbar nur in der Firefox-Erweiterung des Passwort-Managers steckte, ist seit gestern öffentlich bekannt, nachdem Ormandy über Twitter davon berichtete.

Zugriff auf Lastpass-Passwörter

Demnach erlaubte der Fehler, einer zuvor präparierten Webseite die Lastpass-Erweiterung per Javascript direkt anzugreifen. So war es einem Angreifer möglich, die Berechtigung zum Erstellen und Löschen neuer Einträge zu erlangen, Skripte auszuführen und alle Passwörter zu stehlen.

  • Der von Tavis Ormandy veröffentlichte Beispiel-Code, um Passwörter aus Lastpass abzugreifen (Quelle: Tavis Ormandy/Screenshot: Golem.de)
Der von Tavis Ormandy veröffentlichte Beispiel-Code, um Passwörter aus Lastpass abzugreifen (Quelle: Tavis Ormandy/Screenshot: Golem.de)

Kontrovers ist bis zuletzt das offizielle Lastpass-Statement, dass der Exploit stets voraussetze, einen Nutzer "über eine Phishing-Attacke" erfolgreich auf eine bösartige Webseite zu lenken, eine Darstellung, die Ormandy bestreitet. Es sei "nicht korrekt" zu sagen, der Exploit bedürfe einer erfolgreichen Phishing-Attacke. "Ich nehme an, der Blogpost [von Lastpass, A. d. R.] wurde von jemandem geschrieben, dem der Begriff Phishing unbekannt ist."

Wiederholte Probleme mit Lastpass

Der Passwort-Manager Lastpass, der im vergangenen Jahr für 125 Millionen US-Dollar von dem für seine Fernwartungssoftware bekannten US-Anbieter Logmein übernommen wurde, steht nicht das erste Mal wegen Schwachstellen in der Kritik.

Bereits im Juni 2015 war es Hackern bei einem Einbruch in die Server von Lastpass gelungen, Zugriff auf E-Mail-Adressen, Passworthinweise und Authentifizierungshashes etlicher Benutzerkonten zu erlangen. Die in der Passwortverwaltung gespeicherten Kennwörter seien damals zwar nicht betroffen gewesen, dennoch wurden alle Anwender per E-Mail aufgefordert, ihr Masterpasswort zu ändern.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Aktuell auf der Startseite von Golem.de
General Atomics Mojave
US-Drohne mit Miniguns schießt mit 6.000 Schuss pro Minute

General Atomics hat eine Großdrohne mit zwei Miniguns getestet, die eine Kadenz von 6.000 Schuss pro Minute erreichen.

General Atomics Mojave: US-Drohne mit Miniguns schießt mit 6.000 Schuss pro Minute
Artikel
  1. Verkehrsstau ausgelöst: Polizei muss neuer KI-Ampel wiederholt nachhelfen
    Verkehrsstau ausgelöst
    Polizei muss neuer KI-Ampel wiederholt nachhelfen

    Die Stadt Hamm hat kürzlich ihre zweite KI-Ampel aufgestellt. Diese scheint Autofahrer aber hin und wieder mit extrem langen Rot-Phasen zu nerven.

  2. Quartalszahlen: So verkauft Elon Musk Teslas Schrumpfkurs als Wachstum
    Quartalszahlen
    So verkauft Elon Musk Teslas Schrumpfkurs als Wachstum

    Nur 3 statt 20 Millionen Autos, Investitionen in neue Fabriken wurden gestrichen und die 4680-Akkus waren angeblich nie wichtig für Tesla.
    Eine Analyse von Frank Wunderlich-Pfeiffer

  3. Elektro-Limousine: BMW wertet den i4 mit neuem Design und Serienextras auf
    Elektro-Limousine
    BMW wertet den i4 mit neuem Design und Serienextras auf

    Der BMW i4 bekommt ein Technik- und Designupdate, das die Attraktivität des vollelektrischen Mittelklasse-Fahrzeugs steigern soll.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MediaMarkt: Asus Gaming-Laptop 999€ statt 1.599€ • Anker USB-Ladegeräte -45% • MSI MEG 342CDE OLED 999€ • Gamesplanet Spring Sale [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /