17.09.2019
Patch verfügbar
LastPass gibt Log-in-Daten preis
Autor: Alexandra Lindner
II.studio / shutterstock.com
LastPass erlaubte Angreifern das Auslesen des zuletzt verwendeten Passworts. Dazu musste das Opfer lediglich auf eine präparierte Webseite gelockt werden. Entdeckt wurde das Leck von Googles Project Zero. Mittlerweile steht ein Update von LastPass bereit.
Der Google-Sicherheitsexperte Tavis Ormandy hat eine Schwachstelle im Passwortmanager von LastPass ausfindig gemacht. Mittels präparierter Webseite hatten Kriminelle damit die Möglichkeit, das zuletzt über das Tool eingegebene Kennwort auszulesen.
Ormandy beschreibt auf Googles Projct-Zero-Blog, wie ein entsprechender Angriff zum Erfolg geführt hätte: Dazu musste das Opfer lediglich auf eine präparierte Webseite gelockt werden. Schafft es der Kriminelle nun, den betroffenen Nutzer zum Klicken auf ein spezielles Element zu verleiten, bekommt er die Log-in-Daten der zuvor besuchten Webseite geliefert. Möglich sei dies, da LastPass an diesem Punkt versäumt hatte, den Tab-Credential-Cache zu aktualisieren und damit alle vorher eingegebenen Daten zu eliminieren.
Um seinen Fund zu demonstrieren, stellt Ormandy auf der Project-Zero-Seite ein Beispiel bereit. Interessierte Coder können den dort zur Verfügung gestellten Code in ihre Befehlskonsole einfügen und das Ergebnis begutachten.
Update von LastPass bereitgestellt
Wie bei einem derartigen Fund üblich, hat der Google-Forscher das Sicherheitsleck an LastPass gemeldet und eine Frist von 90 Tagen abgewartet, ehe die Lücke öffentlich gemacht wurde. Die Anbieter des Passwortmanagers haben prompt darauf reagiert und stellen inzwischen ein entsprechend bereinigtes Tool bereit.
Mit dem Update auf die aktuelle Version 4.33.0 wurde der Fehler beseitigt. Dieses steht für die meisten Betriebssysteme, sowie für die Browser Chrome, Firefox, Safari, Internet Explorer, Opera und Microsoft Edge bereit. In der Regel wird LastPass automatisch aktualisiert, alternativ kann der Passwortmanager aber auch aus den bekannten App-Stores bezogen werden.
Sicherheits-Tipps
Mail-Account gehackt? Was kann ich tun?
E-Mail-Konten sind tagtäglich eine Zielscheibe von Hackerangriffen. Erst einmal geknackt, kann ein Krimineller mit Ihrem E-Mail-Konto viel Schaden anrichten. Wir verraten Ihnen, was Sie in diesem Fall unternehmen können.
>>
FTTH
Easybell vermarktet jetzt auch Glasfaseranschlüsse
Die Berliner Easybell vermarktet jetzt auch Glasfaseranschlüsse für Privat- und Geschäftskunden. Die FTTH-Anschlüsse kommen dabei von der Telekom.
>>
Google I/O 2024
Google Gemini ermöglicht mehr Funktionen und Individualität
Der große Star bei der diesjährigen Google-Entwicklerkonferenz I/O war Gemini. Die KI-Technologie hält Einzug in diverse Anwendungen und bietet neue Möglichkeiten bei der Entwicklung und Nutzung bekannter und neuer Google-Apps.
>>
Auf der Anga Com
AVM zeigt mit der FritzBox 5690 Pro sein neues Top-Modell
Der Berliner Hersteller AVM nutzt die Breitbandmesse Anga Com, um einige neue FritzBox-Modelle vorzustellen. Darunter sein neues Flaggschiff 5690 für den Glasfaser- und DSL-Anschluss. Es soll im Sommer auf den Markt kommen.
>>