Update: Passwort-Manager Lastpass gefährdet

Angreifer können durch eine Schwachstelle im Passwort-Manager Lastpass Schadcode auf dem Rechner des Nutzers ausführen, wie Heise berichtet. Der Hersteller Lastpass arbeitet nach eigenen Aussagen an einem Patch.

Tavis Ormandy fand die Lücke. Er gehört zu Googles Security-Spezialeinheit Project Zero. Ormandy hatte nach eigener Aussage eine Epiphanie unter der Dusche.

Ah-ha, I had an epiphany in the shower this morning and realized how to get codeexec in LastPass 4.1.43. Full report and exploit on the way. pic.twitter.com/vQn20D9VCy

— Tavis Ormandy (@taviso) March 25, 2017

Der Hersteller Lastpass veröffentlichte kurz darauf einen Blog-Eintrag. Darin erklärt das Unternehmen die Angriffsmethode für ungewöhnlich und hochgradig anspruchsvoll. Weitere Details will Lastpass erst nach Veröffentlichung des Patches verraten.

Bis der Patch bereitsteht, sollen Nutzer die mit Lastpass verwalteten Websites über den Lastpass Vault aufrufen. Lastpass empfiehlt ausserdem, auf allen Websites Zwei-Faktor-Authentifizierung zu aktivieren, sofern sie es anbieten.

Update:

Lastpass hat die Sicherheitslücke in seinen Erweiterungen für diverse Browser geschlossen. Anwender sollten den Passwortmanager umgehend aktualisieren. Die Add-ons sollten sich in den meisten Fällen automatisch updaten. Wer sichergehen will, sollte Lastpass Version 4.1.44 oder höher verwenden.