Zwei kritische Schwachstellen hat der Google-Forscher Tavis Ormandy erneut in LastPass entdeckt. Bereits im Juli 2016 hatte er mehrere kritische Probleme entdeckt. Unter Umständen kann ein Angreifer mit ihrer Hilfe alle Sicherheitsvormaßnahmen des Passwortmanagers aushebeln und gespeicherte Kennwörter stehlen. Nach Angaben des Unternehmens wurde eine der beiden Anfälligkeiten bereits beseitigt.

Einer dieser Fehler betrifft LastPass 4.1.42 und soll bei Verwendung einer Binärkomponente ermöglichen, aus der Ferne Schadcode einzuschleusen und auszuführen. Selbst ohne gebe die Lücke alle Passwörter preis.

Ormandy erklärte in einem Tweet, dass er einen voll funktionsfähigen Exploit entwickelt habe. Dieser funktioniere unter Windows ohne Interaktion mit einem Nutzer. Der Exploit funktioniere möglicherweise auch unter Mac OS X und Linux. Aus zwei Zeilen JavaScript-Code bestehe der Exploit.

Über das Chromium-Projekt veröffentlichte Ormandy alle Details der Lücke und auch den Beispielcode für einen Exploit, nachdem LastPass die Veröffentlichung eines Patches bestätigte. Es war demnach möglich, auf interne und privilegierte LastPass-RPC-Befehle zuzugreifen, darunter das automatische Ausfüllen von Formularen oder die Befehle für das Kopieren von Passwörtern.

Eine weitere Anfälligkeit meldete Ormandy per Twitter gestern Abend, die LastPass 4.1.35 und früher betrifft. „Ich habe einen weiteren Bug gefunden, der das Stehlen von Passwörtern beliebiger Domains erlaubt.“ LastPass antwortete nur zwei Stunden später ebenfalls per Twitter: „Uns liegen Berichte über eine Anfälligkeit im Firefox-Add-on vor. Unsere Sicherheit ermittelt und arbeitet an einem Fix.“ Noch sind keine weiteren Details zu der zweiten Schwachstelle veröffentlicht worden, da noch kein Patch existiert.

(ts, hannover)

(siehe auch zdnet.de:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE