Erneut kritische Sicherheitslücken in LastPass entdeckt

Der Google-Forscher Tavis Ormandy hat erneut zwei kritische Schwachstellen in LastPass entdeckt. Ein Angreifer kann mit ihrer Hilfe unter Umständen alle Sicherheitsvormaßnahmen des Passwortmanagers aushebeln und gespeicherte Kennwörter stehlen. Eine der beiden Anfälligkeiten wurde nach Angaben des Unternehmens inzwischen beseitigt.

Den ersten Fehler hatte Ormandy vor zwei Tagen gemeldet. „Ups, neuer LastPass-Bug der Version 4.1.42 betrifft (Chrome und Firefox)“, twitterte der Forscher am Montag. Bei Verwendung einer Binärkomponente sei es möglich, aus der Ferne Schadcode einzuschleusen und auszuführen. Ohne gebe die Lücke immerhin alle Passwörter preis.

In einem weiteren Tweet erklärte Ormandy, er habe einen voll funktionsfähigen Exploit entwickelt, der unter Windows ohne Interaktion mit einem Nutzer funktioniere. Wahrscheinlich funktioniere der Exploit auch unter Mac OS X und Linux. Der Exploit selbst bestehe nur aus zwei Zeilen JavaScript-Code.

Nachdem LastPass die Veröffentlichung eines Patches bestätigte, machte Ormandy alle Details der Lücke und auch den Beispielcode für einen Exploit über das Chromium-Projekt öffentlich. Demnach war es möglich, auf interne und privilegierte LastPass-RPC-Befehle zuzugreifen, darunter die Befehle für das Kopieren von Passwörtern oder das automatische Ausfüllen von Formularen.

Gestern Abend meldete Ormandy per Twitter eine weitere Anfälligkeit, diesmal in LastPass 4.1.35 und früher. „Ich habe einen weiteren Bug gefunden, der das Stehlen von Passwörtern beliebiger Domains erlaubt.“ Nur zwei Stunden später antwortete LastPass ebenfalls per Twitter: „Uns liegen Berichte über eine Anfälligkeit im Firefox-Add-on vor. Unsere Sicherheit ermittelt und arbeitet an einem Fix.“ Da noch kein Patch existiert, sind auch keine weiteren Details zu der zweiten Schwachstelle bekannt.

Schon im Juli 2016 hatte Ormandy auf mehrere kritische Probleme in LastPass hingewiesen, die eine vollständige Kompromittierung der Anwendung aus der Ferne erlaubten. Zu dem Zeitpunkt fragte Ormandy „Gibt es wirklich Leute, die dieses LastPass-Ding benutzen.“ Anfang 2016 kritisierte Ormandy auch Trend Micros Passwortmanager scharf: „Jeder im Internet kann vollkommen unbemerkt alle Passwörter stehlen und auch ohne Interaktion mit dem Nutzer beliebigen Code ausführen. Ich hoffe wirklich, dass Ihnen die Auswirkungen klar sind, weil mich das sehr erstaunt“, schrieb Ormandy an Trend Micro.

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

4 Stunden ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

6 Stunden ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

6 Stunden ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

10 Stunden ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

10 Stunden ago

Latrodectus: Gefährlicher Nachfolger von IcedID

Latrodectus, auch bekannt als BlackWidow, ist auch unter dem Namen LUNAR SPIDER bekannt.

10 Stunden ago