2456220

Browser-AddOn: Sicherheitslücke in Lastpass

17.09.2019 | 15:23 Uhr | Denise Bergert

Über eine Sicherheitslücke konnten Webseiten auf des zuletzt verwendete Passwort zugreifen. Das Leck wurde inzwischen geschlossen.

Der Sicherheitsforscher Travis Ormandy von Googles Project Zero hat in diesem Monat eine Sicherheitslücke im Passwort-Manager Lastpass aufgespürt. Das Leck betraf die Browser-Erweiterung von Lastpass für Opera und Google Chrome. Darüber konnten Angreifer auf das zuletzt verwendete Passwort des Nutzers zugreifen. Voraussetzung dafür war die Nutzung der Browser-Erweiterung von Lastpass auf einer Website. Angreifer mussten Nutzer, die auf diese Funktion zugegriffen hatten, im Anschluss dazu bringen, auf eine zuvor präparierte Internetseite zu gehen und dort mehrere Klicks auszuführen. Ormandy veröffentlichte seine Erkenntnisse zur Sicherheitslücke sowie die für den Angriff nötigen Javascript-Code-Zeilen in einem ausführlichen Bugreport .

Lastpass reagierte umgehend auf Ormandys Fund und schloss die Sicherheitslücke in Version 4.33.0 der Browser-Erweiterungen. Updates für die AddOns werden automatisch durchgeführt. Wer Lastpass in Opera oder Chrome nutzt, müsste nun also auf der sicheren Seite sein. Lastpass geht in einem Blogbeitrag ebenfalls noch einmal ausführlich auf die Sicherheitslücke und deren Funktionsweise ein. Gefundene Sicherheitslücken belohnt der Entwickler mit einem eigenen Bug Bounty Programm mit Punkten und bis zu 5.000 US-Dollar.

PC-WELT Marktplatz

2456220