Möglicher Zugriff auf Nutzerdaten

LastPass schließt kritische Lücken

LastPass, eine Kennwortverwaltung mit Cloud-Anschluss, liefert derzeit Updates für verschiedene Sicherheitslücken. Diese hatte der Forscher Tavis Ormandy vom Google Project Zero gefunden, Anwender sollten verfügbare Aktualisierungen zügig installieren.

Im Cloud-basierten Passwort-Manager LastPass sind in letzter Zeit verstärkt Sicherheitslücken gefunden worden. Das liegt unter anderem daran, dass der bekannte Forscher Tavis Ormandy vom Google Project Zero sich eingehend mit dem Dienst beschäftigt. Forscher von Project Zero hat in den letzten Wochen und Monaten zahlreiche Schwachstellen in verschiedensten Systemen gefunden, darunter in Windows oder in CloudFlare.

In LastPass teilen sich die Lücken in zwei Bereiche auf: Gepatcht und ungepatcht. Die erste Kategorie wurde am Wochenende um den 27. März gefunden, es handelt sich dabei um eine Schwachstelle in der Browsererweiterung. LastPass hat ein Blog dazu veröffentlicht, will aber keine spezifischen Details bekannt geben, da die Lücke „einmalig und hoch raffiniert“ sei.

Geschlossene Schwachstellen

Mitte März wurden zwei weitere Lücken geschlossen. Nummer 1 betraf die Erweiterung in Firefox. Bösartig manipulierte Webseiten konnten die Erweiterung austricksen und im Zweifel Zugangsdaten abgreifen. Von der Lücke betroffen war die Version 3.3.2 des LastPass-Addons. Der Bug wurde an sich schon letztes Jahr gemeldet und in der aktuellen Programmversion 4.1.36 auch behoben. Allerdings hat LastPass die Programmreihe 3.x bereits letztes Jahr eingestellt, wodurch der Patch nicht für diese alten Addons portiert wurde.

Schwachstelle Nummer 2 hat es da schon etwas mehr in sich, es war eine Lücke im Website Connector. Darüber können sich manipulierte Seiten als vertrauenswürdiger Partner ausgeben und Zugangsdaten stehlen. Betroffen waren alle Addons, egal in Chrome, Edge oder Firefox. LastPass hat den Dienst serverseitig nach Eingang der Meldung deaktiviert.

Gegenmaßnahmen

LastPass empfiehlt allen Nutzern unbedingt die aktuellen Erweiterungen aus der 4.x-Serie zu installieren. Es ist zwar nicht bekannt, dass die Lücken aktiv ausgenutzt wurden, dennoch sollten Anwender die gängigen Sicherheitsregeln beachten. Dazu gehört etwa der Einsatz einer Zwei-Faktor-Authentifizierung wo immer möglich sowie ein gesundes Misstrauen um Phishing-Versuche zu erkennen.

Autor: Moritz Jäger

(c)2017 Vogel Business Media

Bitte beachten Sie

Die Beiträge in der Rubrik "Trends und Innovationen" sind Inhalte unseres Medienpartners Vogel Business Media. Sie spiegeln nicht unbedingt die Meinung von DATEV wider.