LastPass schließt Zero-Day-Lücken in Browsererweiterungen für Chrome, Firefox und Edge

Es handelt sich um die vom Google-Forscher Tavis Ormandy gemeldeten Fehler. LastPass zufolge wurden keine Nutzerdaten kompromittiert. Das Unternehmen will zudem künftig seinen Code besser prüfen. Ormandy lobt LastPass indes für seine schnelle Reaktion.

LastPass hat die vom Google-Forscher Tavis Ormandy in dieser Woche öffentlich gemachten Sicherheitslücken in seinem gleichnamigen Passwortmanager geschlossen. Einem Blogeintrag des Unternehmens zufolge wurde bereits mit der Verteilung der Patches begonnen. Betroffen sind die LastPass-Browsererweiterungen für Firefox, Chrome, Edge und Opera.

LastPass (Bild: LogmeIn)Nutzer des Passwortmanagers sollten nun überprüfen, ob sie bereits das Update erhalten haben. Die Versionsnummer findet sich in den erweiterten Optionen im Menüpunkt „Über LastPass“. Fehlerfrei sind LastPass für Firefox 4.1.36, LastPass für Chrome 4.1.43, LastPass für Edge 4.1.30 und LastPass für Opera 4.1.28. Das Unternehmen weist jedoch darauf hin, dass die Updates für Edge und Opera noch von den jeweiligen Browseranbietern geprüft werden.

Zudem betont LastPass, dass es keine Hinweise darauf gibt, dass die beiden Zero-Day-Lücken aktiv ausgenutzt und dadurch vertrauliche Nutzerdaten kompromittiert wurden. Zudem seien die mobilen Apps für Android und iOS nicht anfällig gewesen. Nutzer müssten nun weder ihr Master-Passwort noch Anmeldedaten für in LastPass gespeicherte Websites oder Dienste ändern.

„Um die gemeldeten Anfälligkeiten auszunutzen, müsste ein Angreifer einen Nutzer zuerst auf eine gefährliche Webseite locken“, schreibt Amber Gott, Marketing-Managerin bei LastPass, in einem Blogeintrag. Ormandy habe gezeigt, dass ein Angreifer LastPass-APIs aufrufen und in einigen Fällen sogar belieben Code ausführen könne, und zwar als vertrauenswürdige Partei. Das erlaube es dem Angreifer, Informationen wie Log-in-Daten eines Nutzer abzurufen.

Einer der beiden Fehler betreffe in erster Linie die Version 3.x der Firefox-Erweiterung, deren Support im April ende. Trotzdem stehe nun die neue Version 3.3.4 zur Verfügung. Der andere Fehler sei erst im August 2016 eingeführt worden, zusammen mit einer neuen experimentellen Funktion. Die sei sofort nach Bekanntwerden des Bugs deaktiviert worden.

Darüber hinaus kündigte LastPass an, die interne Code-Prüfung und die Sicherheitsprozesse zu überprüfen und zu stärken. Das gelte vor allem für neue und experimentelle Funktionen. Zudem dankte die Managerin Ormandy für seine Arbeit und bat um weitere Beiträge von Sicherheitsforschern zu LastPass‘ Bug-Prämienprogramm.

Ormandy lobte indes LastPass‘ Reaktion auf seine Fehlerberichte. „Bin sehr beeindruckt, wie schnell LastPass auf Sicherheitsberichte reagiert. Wenn nur alle Anbieter so schnell wären“, twitterte er bereits am Mittwoch.

ANZEIGE

Sie haben Optimierungsbedarf bei Ihren Logistikprozessen?

Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

Themenseiten: Authentifizierung, Browser, Lastpass, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu LastPass schließt Zero-Day-Lücken in Browsererweiterungen für Chrome, Firefox und Edge

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *