Prof. Dr. G. Hellberg EDV Beratung und Softwareengineering seit 1984
Mailadresse fuer Kontaktaufnahme
NewsNews
 
Die Hellberg EDV Beratung ist SuSE Business Partner
 
Professor Hellberg ist Certified Novell InstructorDie Hellberg EDV Beratung ist Novell Business Partner
 
Die Hellberg EDV Beratung ist Microsoft Partner
 
GDATA Software
 
News

Im Auftrag von Googles Project Zero lässt Tavis Ormandy nicht locker und hat im Passwort-Manager Lastpass eine weitere Sicherheitslücke aufgedeckt. Warum das letzte Sicherheitsupdate von Lastpass nicht überall funktionierte, hat er ebenfalls herausgefunden und dieses Problem behoben. Lastpass hat schnell reagiert und die Lücken innerhalb von 24 Stunden mit Updates ihrer Browser-Plug-ins gestopft.

Es handelt sich bei der von Ormandy frisch entdeckten Lücke im eigentlichen Sinne nicht um eine neue Schwachstelle: Er entdeckte bei seinen Untersuchungen des Lastpass-Quellcodes ein bereits 2015 öffentlich gemachtes Sicherheitsproblem. Der Fix der Entwickler war allerdings ungenügend, so dass Ormandy es schaffte, mittels Clickjacking und anderen Tricks die Lücke erneut auszunutzen und so Passwörter über eine präparierte Webseite abzugreifen.

Demnach häufen sich bei Lastpass Bugfixes, welche die eigentliche Sicherheitslücke nicht komplett schließen. Mit der kurz zuvor von Ormandy gemeldeten Schwachstelle, über die Angreifer Passwörter auslesen und sogar Code ausführen konnten, war es ähnlich geschehen. Diese Schwachstelle hatte Lastpass nur für den Chrome-Browser behoben, während Ormandys Exploit unter Firefox nach wie vor funktionierte. Dieses Einfallstor wurde jetzt auch abgedichtet.

(mt, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE