Categories: Sicherheit

LastPass schließt Zero-Day-Lücken in Browsererweiterungen für Chrome, Firefox und Edge

LastPass hat die vom Google-Forscher Tavis Ormandy in dieser Woche öffentlich gemachten Sicherheitslücken in seinem gleichnamigen Passwortmanager geschlossen. Einem Blogeintrag des Unternehmens zufolge wurde bereits mit der Verteilung der Patches begonnen. Betroffen sind die LastPass-Browsererweiterungen für Firefox, Chrome, Edge und Opera.

Nutzer des Passwortmanagers sollten nun überprüfen, ob sie bereits das Update erhalten haben. Die Versionsnummer findet sich in den erweiterten Optionen im Menüpunkt „Über LastPass“. Fehlerfrei sind LastPass für Firefox 4.1.36, LastPass für Chrome 4.1.43, LastPass für Edge 4.1.30 und LastPass für Opera 4.1.28. Das Unternehmen weist jedoch darauf hin, dass die Updates für Edge und Opera noch von den jeweiligen Browseranbietern geprüft werden.

Zudem betont LastPass, dass es keine Hinweise darauf gibt, dass die beiden Zero-Day-Lücken aktiv ausgenutzt und dadurch vertrauliche Nutzerdaten kompromittiert wurden. Zudem seien die mobilen Apps für Android und iOS nicht anfällig gewesen. Nutzer müssten nun weder ihr Master-Passwort noch Anmeldedaten für in LastPass gespeicherte Websites oder Dienste ändern.

„Um die gemeldeten Anfälligkeiten auszunutzen, müsste ein Angreifer einen Nutzer zuerst auf eine gefährliche Webseite locken“, schreibt Amber Gott, Marketing-Managerin bei LastPass, in einem Blogeintrag. Ormandy habe gezeigt, dass ein Angreifer LastPass-APIs aufrufen und in einigen Fällen sogar belieben Code ausführen könne, und zwar als vertrauenswürdige Partei. Das erlaube es dem Angreifer, Informationen wie Log-in-Daten eines Nutzer abzurufen.

Einer der beiden Fehler betreffe in erster Linie die Version 3.x der Firefox-Erweiterung, deren Support im April ende. Trotzdem stehe nun die neue Version 3.3.4 zur Verfügung. Der andere Fehler sei erst im August 2016 eingeführt worden, zusammen mit einer neuen experimentellen Funktion. Die sei sofort nach Bekanntwerden des Bugs deaktiviert worden.

Darüber hinaus kündigte LastPass an, die interne Code-Prüfung und die Sicherheitsprozesse zu überprüfen und zu stärken. Das gelte vor allem für neue und experimentelle Funktionen. Zudem dankte die Managerin Ormandy für seine Arbeit und bat um weitere Beiträge von Sicherheitsforschern zu LastPass‘ Bug-Prämienprogramm.

Ormandy lobte indes LastPass‘ Reaktion auf seine Fehlerberichte. „Bin sehr beeindruckt, wie schnell LastPass auf Sicherheitsberichte reagiert. Wenn nur alle Anbieter so schnell wären“, twitterte er bereits am Mittwoch.

ANZEIGE

Sie haben Optimierungsbedarf bei Ihren Logistikprozessen?

Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

4 Stunden ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

20 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

1 Tag ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

1 Tag ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

1 Tag ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

1 Tag ago