Der Online-Passwort-Manager LastPass hat die gestern bekannt gewordene Heartbleed-Lücke in OpenSSL geschlossen. Zu keinem Zeitpunkt habe eine Gefahr für die von Nutzern hinterlegten Passwörter bestanden, da diese vor dem Transport über OpenSSL verschlüsselt werden, kommentiert es. Auf den Schlüssel hat LastPass keinen Zugriff, sondern nur der Nutzer.
Das Unternehmen hat bereits neu ausgestellte Zertifikate in Betrieb genommen. Außerdem arbeiten die LastPass-Server mit „Perfect Forward Secrecy„, womit sichergestellt ist, dass aus einem aufgedeckten geheimen Langzeitschlüssel nicht auf damit ausgehandelte Sitzungsschlüssel eines Kommunikationskanals geschlossen werden kann.
Etwa zwei Drittel aller Websites, die SSL zur verschlüsselten Kommunikation nutzen, verwenden dafür OpenSSL. Durch die Heartbleed-Lücke können Angreifer geheime Schlüssel für die mit OpenSSL genutzten X.509-Zertifikate stehlen und erhalten damit Zugriff auf vertrauliche Daten wie Usernamen, Passwörter, Instant Messages, E-Mails und geschäftskritische Dokumente.
Da allerdings die meisten Server, die OpenSSL zur Verschlüsselung nutzen, Passwörter nicht wie Lastpass verschlüsseln, empfiehlt das Unternehmen Anwendern, die Zugangsdaten für kritische Websites zu ändern. Das sollte aber erst passieren, nachdem die betreffende Site den Patch für die Heartbleed-Lücke nutzt und neue Zertifikate in Betrieb sind. Hierfür stellt Lastpass einen Heartbleed-Checker zur Verfügung, der überprüft, ob Websites mit OpenSSL arbeiten, und informiert über den Installationszeitpunkt des Zertifikats. Eine Liste von der Heartbleed-Lücke betroffene Server steht auf Github zur Verfügung.
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Das jüngste Update bringt insgesamt zwölf Fixes. Schadcode lässt sich unter Umständen ohne Interaktion mit…
Eine softwarebasierte Workstation soll es Ingenieuren erlauben, sämtliche Steuerungen zentral zu verwalten. Pilotkunde ist Ford.
Kryptodiebstahl und finanzieller Gewinn sind laut ESET-Forschungsbericht die vorrangigen neuen Ziele.
Schwachstellen aus der ThroughTek Kaylay-IoT-Plattform. Dringend Update-Status der IoT-Geräte prüfen.
Fast acht Milliarden Euro fließen in die deutsche Region der AWS European Sovereign Cloud. Das…
Im Rahmen der umfassenden Digitalisierung der Bundeswehr ersetzen Electronic Knee Boards die herkömmlichen Handbücher von…