Lastpass schließt weitere Sicherheitslücken
Lastpass spielt schon wieder Updates aus, da ein Google-Forscher zwei Sicherheitslücken entdeckt hat, die beim ersten Mal nicht ordentlich geschlossen wurden.
- Fabian A. Scherschel
Tavis Ormandy lässt im Auftrag von Googles Project Zero nicht locker: Er hat eine weitere Sicherheitslücke im Passwort-Manager Lastpass aufgedeckt. Außerdem hat er herausgefunden, warum das letzte Sicherheitsupdate von Lastpass nicht überall funktionierte und dieses Problem ebenfalls behoben. Lastpass hat schnell reagiert und die Lücken bereits mit Updates ihrer Browser-Plug-ins gestopft.
Bei der von Ormandy frisch entdeckten Lücke handelt es sich nicht um eine neue Schwachstelle im eigentlichen Sinne: Bei seinen Untersuchungen des Lastpass-Quellcodes entdeckte er ein Sicherheitsproblem, das bereits 2015 öffentlich gemacht wurde. Allerdings war der Fix der Entwickler ungenügend, so dass Ormandy es schaffte, die Lücke mittels Clickjacking und anderen Tricks erneut auszunutzen und so über eine präparierte Webseite Passwörter abzugreifen.
Die unsauberen Updates häufen sich
Bugfixes, welche die eigentliche Sicherheitslücke nicht komplett schließen häufen sich demnach bei Lastpass. Ähnlich war es mit der kurz zu vor von Ormandy gemeldeten Schwachstelle geschehen, über die Angreifer Passwörter auslesen und sogar Code ausführen können. Lastpass hatte diese Schwachstelle nur für den Chrome-Browser behoben, unter Firefox funktionierte Ormandys Exploit nach wie vor. Auch dieses Einfallstor wurde nun abgedichtet.
Ormandy lobte die Lastpass-Entwickler auf Twitter für ihre schnelle Reaktion beim Schließen der Lücken. Andere Sicherheitsforscher zeigten sich allerdings weniger erfreut: @osxreverser brachte es verärgert auf den Punkt: "Reduce the god damn attack surface to the app itself and its crypto" ("Verkleinert verdammt noch mal die Angriffsfläche der App und ihrer Krypto"). (fab)
