Passwortklau-Lücke in Lastpass geschlossen (oder auch nicht)
Eine Sicherheitslücke im Passwort-Manager Lastpass erlaubt das Auslesen von Passwörtern. Unter Umständen kann der Angreifer auch Code ausführen. Es gibt Berichte, dass der Fix von Lasspass die Lücke bisher nicht erfolgreich geschlossen hat.
Ormandy beweist seinen Angriff (die Taschenrechner-App calc.exe startet natürlich nur auf Windows)
(Bild: Tavis Ormandy)
- Fabian A. Scherschel
Google-Sicherheitsexperte Tavis Ormandy hat eine Lücke im Passwort-Manager Lastpass gefunden, über die bösartige Webseiten Passwörter auslesen und ändern können. Wenn Lastpass-Nutzer die Binärcode-Version des Plug-ins installiert haben, kann ein Angreifer darüber hinaus auch Schadcode auf dem Rechner des Opfers ausführen. Laut Ormandys Bug-Report hat Lastpass die Lücke bereits geschlossen, es gibt allerdings Berichte, dass Ormandys Exploit nach wie vor funktioniert.
In seiner Beschreibung der Lücke berichtet der Google-Forscher, dass Lastpass ihm zuerst geantwortet habe, dass man seinen Angriff nicht nachstellen könne. Ormandy führt dies darauf zurück, dass die Lastpass-Entwickler versucht hätten, seinen Exploit mit einem Mac zu testen. Das habe er in den Log-Dateien seines Servers nachvollziehen können. Da sein Exploit das Windows-Programm calc.exe ausführt, hätte das natürlich auch nicht funktionieren können.
Lastpass-Nutzer sollten das Browser-Plug-in des Dienstes auf jeden Fall aktuell halten. Falls die Lücke, wie von Anwendern berichtet, nach wie vor offen ist, sind weitere Updates zu erwarten. (fab)
