LastPass schließt Zero-Day-Lücken in Browsererweiterungen für Chrome, Firefox und Edge

LastPass hat die vom Google-Forscher Tavis Ormandy in dieser Woche öffentlich gemachten Sicherheitslücken in seinem gleichnamigen Passwortmanager geschlossen. Einem Blogeintrag des Unternehmens zufolge wurde bereits mit der Verteilung der Patches begonnen. Betroffen sind die LastPass-Browsererweiterungen für Firefox, Chrome, Edge und Opera.

Nutzer des Passwortmanagers sollten nun überprüfen, ob sie bereits das Update erhalten haben. Die Versionsnummer findet sich in den erweiterten Optionen im Menüpunkt „Über LastPass“. Fehlerfrei sind LastPass für Firefox 4.1.36, LastPass für Chrome 4.1.43, LastPass für Edge 4.1.30 und LastPass für Opera 4.1.28. Das Unternehmen weist jedoch darauf hin, dass die Updates für Edge und Opera noch von den jeweiligen Browseranbietern geprüft werden.

Zudem betont LastPass, dass es keine Hinweise darauf gibt, dass die beiden Zero-Day-Lücken aktiv ausgenutzt und dadurch vertrauliche Nutzerdaten kompromittiert wurden. Zudem seien die mobilen Apps für Android und iOS nicht anfällig gewesen. Nutzer müssten nun weder ihr Master-Passwort noch Anmeldedaten für in LastPass gespeicherte Websites oder Dienste ändern.

„Um die gemeldeten Anfälligkeiten auszunutzen, müsste ein Angreifer einen Nutzer zuerst auf eine gefährliche Webseite locken“, schreibt Amber Gott, Marketing-Managerin bei LastPass, in einem Blogeintrag. Ormandy habe gezeigt, dass ein Angreifer LastPass-APIs aufrufen und in einigen Fällen sogar belieben Code ausführen könne, und zwar als vertrauenswürdige Partei. Das erlaube es dem Angreifer, Informationen wie Log-in-Daten eines Nutzer abzurufen.

Einer der beiden Fehler betreffe in erster Linie die Version 3.x der Firefox-Erweiterung, deren Support im April ende. Trotzdem stehe nun die neue Version 3.3.4 zur Verfügung. Der andere Fehler sei erst im August 2016 eingeführt worden, zusammen mit einer neuen experimentellen Funktion. Die sei sofort nach Bekanntwerden des Bugs deaktiviert worden.

Darüber hinaus kündigte LastPass an, die interne Code-Prüfung und die Sicherheitsprozesse zu überprüfen und zu stärken. Das gelte vor allem für neue und experimentelle Funktionen. Zudem dankte die Managerin Ormandy für seine Arbeit und bat um weitere Beiträge von Sicherheitsforschern zu LastPass‘ Bug-Prämienprogramm.

Ormandy lobte indes LastPass‘ Reaktion auf seine Fehlerberichte. „Bin sehr beeindruckt, wie schnell LastPass auf Sicherheitsberichte reagiert. Wenn nur alle Anbieter so schnell wären“, twitterte er bereits am Mittwoch.

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.