Passwort-Manager Lastpass veröffentlicht Sicherheitsupdate
Die Lastpass-Entwickler haben mit einem automatisch verteilten Update für Firefox-Nutzer die von Tavis Ormandy entdeckte Sicherheitslücke geschlossen.
- Fabian A. Scherschel
Die Entwickler des Passwort-Managers Lastpass haben eine Sicherheitslücke geschlossen, die Google-Sicherheitsforscher Tavis Ormandy vor kurzem entdeckt hatte. Die Lücke betraf nach Angaben der Entwickler nur Firefox-Nutzer und wurde bereits mit einem automatisch verteilten Update für das Firefox-Plug-in geschlossen. Außerdem hat Lastpass eine zweite, sehr ähnliche Lücke benannt, die bereits vor mehr als einem Jahr geschlossen wurde.
Um die von Ormandy entdeckte Lücke auszunutzen, hätte ein Angreifer sein Opfer auf eine präparierte Webseite locken müssen. Schadcode auf der Seite hätte laut der Sicherheitsmeldung von Lastpass dann Zugriff auf das Lastpass-Plug-in gehabt und "im Hintergrund ohne Wissen des Nutzers Aktionen ausführen können, etwa Einträge löschen". (fab)
