Passwörter gefährdet
17.09.2019, 08:47 Uhr
LastPass-Lücke gibt Zugriff auf letztes Login
LastPass erlaubte Angreifern das Auslesen des zuletzt verwendeten Passworts. Dazu musste das Opfer lediglich auf eine präparierte Webseite gelockt werden. Entdeckt wurde das Leck von Googles Project Zero. Mittlerweile steht ein Update von LastPass bereit.
Der Google-Sicherheitsexperte Tavis Ormandy hat eine Schwachstelle im Passwortmanager von LastPass ausfindig gemacht. Mittels präparierter Webseite hatten Kriminelle damit die Möglichkeit, das zuletzt über das Tool eingegebene Kennwort auszulesen.
Ormandy beschreibt auf Googles Projct-Zero-Blog, wie ein entsprechender Angriff zum Erfolg geführt hätte: Dazu musste das Opfer lediglich auf eine präparierte Webseite gelockt werden. Schafft es der Kriminelle nun, den betroffenen Nutzer zum Klicken auf ein spezielles Element zu verleiten, bekommt er die Log-in-Daten der zuvor besuchten Webseite geliefert. Möglich sei dies, da LastPass an diesem Punkt versäumt hatte, den Tab-Credential-Cache zu aktualisieren und damit alle vorher eingegebenen Daten zu eliminieren.
Um seinen Fund zu demonstrieren, stellt Ormandy auf der Project-Zero-Seite ein Beispiel bereit. Interessierte Coder können den dort zur Verfügung gestellten Code in ihre Befehlskonsole einfügen und das Ergebnis begutachten.
Update von LastPass bereitgestellt
Wie bei einem derartigen Fund üblich, hat der Google-Forscher das Sicherheitsleck an LastPass gemeldet und eine Frist von 90 Tagen abgewartet, ehe die Lücke öffentlich gemacht wurde. Die Anbieter des Passwortmanagers haben prompt darauf reagiert und stellen inzwischen ein entsprechend bereinigtes Tool bereit.
Mit dem Update auf die aktuelle Version 4.33.0 wurde der Fehler beseitigt. Dieses steht für die meisten Betriebssysteme, sowie für die Browser Chrome, Firefox, Safari, Internet Explorer, Opera und Microsoft Edge bereit. In der Regel wird LastPass automatisch aktualisiert, alternativ kann der Passwortmanager aber auch aus den bekannten App-Stores bezogen werden.