Illustration von Alex Castro / The Verge
LastPass hat einen Fehler gepatcht, der es einer bösartigen Website ermöglicht hätte, ein früheres Passwort zu extrahieren, das von der Browser-Erweiterung des Dienstes eingegeben wurde. ZDNet berichtet, dass der Fehler von Tavis Ormandy, einem Forscher im Project Zero-Team von Google, entdeckt und in einem Fehlerbericht vom 29. August veröffentlicht wurde. Lastpass behob das Problem am 13. September, und stellte das Update auf alle Browser, wo es automatisch angewendet werden sollte, etwas Lastpass Benutzer wäre intelligent zu überprüfen.
Der Fehler funktioniert, indem Benutzer auf eine bösartige Website gelockt werden, und die Browser-Erweiterung täuschen, ein Passwort von einer zuvor besuchten Website zu verwenden. Ormandy stellt fest, dass Angreifer einen Dienst wie Google Translate verwenden könnten, um eine bösartige URL zu verschleiern und anfällige Benutzer dazu zu bringen, eine nicht autorisierte Website zu besuchen.
Obwohl Lastpass sagt, dass das Update automatisch angewendet werden sollte, sollten Sie auf jeden Fall überprüfen, ob Sie die aktuellste Version der Browser-Erweiterung des Dienstes ausführen, vor allem, wenn Sie einen Browser verwenden, mit dem Sie automatisch deaktivieren können Updates für Erweiterungen. Der Fehler wurde mit Version 4.33.0 der Erweiterung gepatcht. Lastpass sagte, dass es glaubte, dass nur die Chrome und Opera Browser wurden von dem Fehler betroffen, aber dass es den gleichen Patch für alle Browser als Vorsichtsmaßnahme bereitgestellt.
In einer Erklärung auf seinem Blog veröffentlicht, Lastpass spielte den Schweregrad des Fehlers. Der Security Engineering Manager des Unternehmens, Ferenc Kun, sagte, dass der Exploit auf einem Benutzer beruhte, der eine bösartige Website besuchte und dann dazu verleitet wurde, auf die Seite “mehrmals” zu klicken. Ormandy gab dem Fehler dennoch eine “Hohe” Schwerebewertung. Der Fehler wurde verantwortungsvoll an Lastpass offenbart, bevor er veröffentlicht wurde, und es gibt keine Beweise dafür, dass ein Exploit jemals im Internet bereitgestellt wurde.
Trotz dieses Fehlers ist die Verwendung eines Passwort-Managers immer noch eine gute Maßnahme, um Ihrer Online-Sicherheit willen. Die Existenz des Fehlers unterstreicht die Tatsache, dass Passwort-Manager, wie jeder Online-Dienst, immer noch anfällig für Sicherheitsprobleme sein können. Daher ist es eine gute Idee, allen Websites, die dies unterstützen, eine Zwei-Faktor-Authentifizierung hinzuzufügen, zusammen mit der Verwendung sicherer eindeutiger Kennwörter, die Sie nie zwischen Diensten wiederverwenden.
Contact Information:
Jon Porter
Keywords: afds, afdsafds