Der
Google-Sicherheitsexperte Tavis Ormandy hat eine Schwachstelle im Passwortmanager von LastPass ausfindig gemacht. Mittels präparierter Webseite hatten Kriminelle damit die Möglichkeit, das zuletzt über das Tool eingegebene Kennwort auszulesen.
Ormandy beschreibt auf Googles
Projct-Zero-Blog, wie ein entsprechender Angriff zum Erfolg geführt hätte: Dazu musste das Opfer lediglich auf eine präparierte Webseite gelockt werden. Schafft es der Kriminelle nun, den betroffenen Nutzer zum Klicken auf ein spezielles Element zu verleiten, bekommt er die Log-in-Daten der zuvor besuchten Webseite geliefert. Möglich sei dies, da LastPass an diesem Punkt versäumt hatte, den Tab-Credential-Cache zu aktualisieren und damit alle vorher eingegebenen Daten zu eliminieren.
Um seinen Fund zu demonstrieren, stellt Ormandy auf der Project-Zero-Seite ein Beispiel bereit. Interessierte Coder können den dort zur Verfügung gestellten Code in ihre Befehlskonsole einfügen und das Ergebnis begutachten.
Wie bei einem derartigen Fund üblich, hat der Google-Forscher das Sicherheitsleck an LastPass gemeldet und eine Frist von 90 Tagen abgewartet, ehe die Lücke öffentlich gemacht wurde. Die Anbieter des Passwortmanagers haben prompt darauf reagiert und stellen inzwischen ein entsprechend bereinigtes Tool bereit.
Mit dem Update auf die aktuelle Version 4.33.0 wurde der Fehler beseitigt. Dieses steht für die meisten Betriebssysteme, sowie für die Browser Chrome, Firefox, Safari, Internet Explorer, Opera und Microsoft Edge bereit. In der Regel wird LastPass automatisch aktualisiert, alternativ kann der Passwortmanager aber auch aus den bekannten App-Stores bezogen werden.