LastPass hat die vom Google-Forscher Tavis Ormandy in dieser Woche öffentlich gemachten Sicherheitslücken in seinem gleichnamigen Passwortmanager geschlossen. Einem Blogeintrag des Unternehmens zufolge wurde bereits mit der Verteilung der Patches begonnen. Betroffen sind die LastPass-Browsererweiterungen für Firefox, Chrome, Edge und Opera.
Zudem betont LastPass, dass es keine Hinweise darauf gibt, dass die beiden Zero-Day-Lücken aktiv ausgenutzt und dadurch vertrauliche Nutzerdaten kompromittiert wurden. Zudem seien die mobilen Apps für Android und iOS nicht anfällig gewesen. Nutzer müssten nun weder ihr Master-Passwort noch Anmeldedaten für in LastPass gespeicherte Websites oder Dienste ändern.
„Um die gemeldeten Anfälligkeiten auszunutzen, müsste ein Angreifer einen Nutzer zuerst auf eine gefährliche Webseite locken“, schreibt Amber Gott, Marketing-Managerin bei LastPass, in einem Blogeintrag. Ormandy habe gezeigt, dass ein Angreifer LastPass-APIs aufrufen und in einigen Fällen sogar belieben Code ausführen könne, und zwar als vertrauenswürdige Partei. Das erlaube es dem Angreifer, Informationen wie Log-in-Daten eines Nutzer abzurufen.
Einer der beiden Fehler betreffe in erster Linie die Version 3.x der Firefox-Erweiterung, deren Support im April ende. Trotzdem stehe nun die neue Version 3.3.4 zur Verfügung. Der andere Fehler sei erst im August 2016 eingeführt worden, zusammen mit einer neuen experimentellen Funktion. Die sei sofort nach Bekanntwerden des Bugs deaktiviert worden.
Darüber hinaus kündigte LastPass an, die interne Code-Prüfung und die Sicherheitsprozesse zu überprüfen und zu stärken. Das gelte vor allem für neue und experimentelle Funktionen. Zudem dankte die Managerin Ormandy für seine Arbeit und bat um weitere Beiträge von Sicherheitsforschern zu LastPass‘ Bug-Prämienprogramm.
Ormandy lobte indes LastPass‘ Reaktion auf seine Fehlerberichte. „Bin sehr beeindruckt, wie schnell LastPass auf Sicherheitsberichte reagiert. Wenn nur alle Anbieter so schnell wären“, twitterte er bereits am Mittwoch.
Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.
Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…