Sicherheitsforscher entlockt Passwortmanager LastPass Kennwörter

Googles bekannter Sicherheitsforscher Tavis Ormandy hat gezeigt, wie eine beliebige Website dem Passwort-Manager LastPass mit etwas Trickserei das letzte verwendete Passwort einer anderen Seite entlocken konnte. Mittlerweile haben die Entwickler das Sicherheitsproblem gelöst und die Ausgabe 4.33.0 ist abgesichert.

Damit das klappt, hätten Angreifer Opfer auf eine präparierte Website locken und es dazu bringen müssen, Elemente anzuklicken (Clickjacking). Log-in-Daten einer vorher besuchten Seite hätten leaken können, weil LastPass den Tab-Credential-Cache nicht aktualisiert hat. In einem Beitrag beschreibt Ormandy im Detail, wie das funktionierte. (des)