28.03.2017, 15:00 Uhr

Passwort-Manager LastPass erneut mit Sicherheitsleck

Bereits letzte Woche hatte der Passwort-Manager LastPass mit Sicherheitsproblemen zu kämpfen. Jetzt machte der Google-Sicherheitsforscher Tavis Ormandy auf ein weiteres Leck aufmerksam.
Am Wochenende hat der Google-Sicherheitsforscher Tavis Ormandy eine Sicherheitslücke im Passwort-Manager LastPass entdeckt. Unter der Dusche sei ihm eingefallen, wie man Schadcode in der Browser-Erweiterung der LastPass-Version 4.1.43 ausführen könne, twitterte Ormandy am vergangenen Samstag. Nähere Details zu seinem Vorgehen gab er öffentlich jedoch nicht preis. Kurz darauf wurde LastPass auf seine Entdeckung aufmerksam. In einem Blogbeitrag schreibt das Unternehmen, dass es sich dabei um einen «einzigartigen und höchst anspruchsvollen» Angriff handelt. LastPass arbeite zurzeit an einem Patch, nähere Informationen würden aber erst folgen, wenn das Sicherheitsleck geschlossen sei. Unterdessen werden Userinnen und User des beliebten Passwort-Managers angewiesen, ihre Daten über den LastPass-Vault aufzurufen, empfiehlt das Unternehmen. Bis die Lücke geschlossen ist, sei dies der sicherste Weg, auf die eigenen Daten zuzugreifen. Als zusätzliche Sicherheitsmassnahme solle, wann immer möglich, die Zwei-Faktor-Authentifizierung aktiviert werden. Ausserdem rät die Firma grundsätzlich zur Vorsicht vor Phishing-Attacken. Es war nicht das erste Mal, dass Tavis Ormandy auf ein Leck bei LastPass aufmerksam machte. Bereits vergangene Woche informierte er das Unternehmen, dass bösartige Webseiten Passwörter auslesen und verändern könnten, wenn bei Nutzern die Binärcode-Version des Plug-ins installiert sei. LastPass schloss anschliessend die Lücke vermeintlich, Ormandy gelang es danach jedoch wiederum, Passwörter abzugreifen, sodass ein zweites Mal Updates für den Passwort-Manager verteilt werden mussten.


Das könnte Sie auch interessieren