Im Auftrag von Googles Project Zero lässt Tavis Ormandy nicht
locker und hat im Passwort-Manager Lastpass
eine weitere Sicherheitslücke aufgedeckt. Warum das letzte
Sicherheitsupdate von Lastpass nicht überall funktionierte,
hat er ebenfalls herausgefunden und dieses Problem behoben. Lastpass
hat schnell reagiert und die Lücken innerhalb von 24 Stunden
mit Updates ihrer Browser-Plug-ins gestopft.
Es handelt sich bei der von Ormandy frisch entdeckten Lücke
im eigentlichen Sinne nicht um eine neue Schwachstelle: Er entdeckte
bei seinen Untersuchungen des Lastpass-Quellcodes ein bereits 2015
öffentlich gemachtes Sicherheitsproblem. Der Fix der Entwickler
war allerdings ungenügend, so dass Ormandy es schaffte, mittels
Clickjacking und anderen Tricks die Lücke erneut
auszunutzen und so Passwörter über eine präparierte
Webseite abzugreifen.
Demnach häufen sich bei Lastpass Bugfixes, welche die eigentliche
Sicherheitslücke nicht komplett schließen. Mit der kurz
zuvor von Ormandy gemeldeten Schwachstelle, über die Angreifer
Passwörter auslesen und sogar Code ausführen konnten,
war es ähnlich geschehen. Diese Schwachstelle hatte Lastpass
nur für den Chrome-Browser behoben, während Ormandys Exploit
unter
Firefox nach wie vor funktionierte. Dieses Einfallstor wurde
jetzt auch abgedichtet.
(mt, hannover)
(siehe auch Heise
News-Ticker:)
Hannover · EDV-Beratung ·
Linux · Novell · Microsoft · Seminar ·
IT-Consult · Netzwerk · LPIC · CLE
|