Möglicher Zugriff auf Nutzerdaten

LastPass schließt kritische Lücken

| Autor / Redakteur: Moritz Jäger / Peter Schmitz

In der LastPass Kennwortverwaltung gab und gibt es kritische Sicherheitslücken. Nutzer sollten Aktualisierungen möglichst schnell installieren.
In der LastPass Kennwortverwaltung gab und gibt es kritische Sicherheitslücken. Nutzer sollten Aktualisierungen möglichst schnell installieren. (Bild: Pixabay, LastPass / CC0)

LastPass, eine Kennwortverwaltung mit Cloud-Anschluss, liefert derzeit Updates für verschiedene Sicherheitslücken. Diese hatte der Forscher Tavis Ormandy vom Google Project Zero gefunden, Anwender sollten verfügbare Aktualisierungen zügig installieren.

Im Cloud-basierten Passwort-Manager LastPass sind in letzter Zeit verstärkt Sicherheitslücken gefunden worden. Das liegt unter anderem daran, dass der bekannte Forscher Tavis Ormandy vom Google Project Zero sich eingehend mit dem Dienst beschäftigt. Forscher von Project Zero hat in den letzten Wochen und Monaten zahlreiche Schwachstellen in verschiedensten Systemen gefunden, darunter in Windows oder in CloudFlare.

In LastPass teilen sich die Lücken in zwei Bereiche auf: Gepacht und ungepatcht. Die erste Kategorie wurde am Wochenende um den 27. März gefunden, es handelt sich dabei um eine Schwachstelle in der Browsererweiterung. LastPass hat ein Blog dazu veröffentlicht, will aber keine spezifischen Details bekannt geben, da die Lücke „einmalig und hoch raffiniert“ sei.

Geschlossene Schwachstellen

Mitte März wurden zwei weitere Lücken geschlossen. Nummer 1 betraf die Erweiterung in Firefox. Bösartig manipulierte Webseiten konnten die Erweiterung austricksen und im Zweifel Zugangsdaten abgreifen. Von der Lücke betroffen war die Version 3.3.2 des LastPass-Addons. Der Bug wurde an sich schon letztes Jahr gemeldet und in der aktuellen Programmversion 4.1.36 auch behoben. Allerdings hat LastPass die Programmreihe 3.x bereits letztes Jahr eingestellt, wodurch der Patch nicht für diese alten Addons portiert wurde.

Schwachstelle Nummer 2 hat es da schon etwas mehr in sich, es war eine Lücke im Website Connector. Darüber können sich manipulierte Seiten als vertrauenswürdiger Partner ausgeben und Zugangsdaten stehlen. Betroffen waren alle Addons, egal in Chrome, Edge oder Firefox. LastPass hat den Dienst serverseitig nach Eingang der Meldung deaktiviert.

Beliebte Passwort-Manager im Überblick

Kennwortverwaltung

Beliebte Passwort-Manager im Überblick

01.02.17 - Programme zur Kennwortverwaltung sind praktisch und nehmen dem Anwender das Merken langer Zeichenkombinationen ab. Passwort-Manager gehören inzwischen ins Arsenal von IT-Profis. In diesem Artikel stellen wir mehrere Lösungen vor. Neben Cloud-basierten Applikationen und lokal installierten Managern zeigen wir drei Lösungen, die Kennwörter nicht speichern sondern bei Bedarf berechnen. lesen

Gegenmaßnahmen

LastPass empfiehlt allen Nutzern unbedingt die aktuellen Erweiterungen aus der 4.x-Serie zu installieren. Es ist zwar nicht bekannt, dass die Lücken aktiv ausgenutzt wurden, dennoch sollten Anwender die gängigen Sicherheitsregeln beachten. Dazu gehört etwa der Einsatz einer Zwei-Faktor-Authentifizierung wo immer möglich sowie ein gesundes Misstrauen um Phishing-Versuche zu erkennen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44602667 / Sicherheitslücken)