header-logo

Künstliche Intelligenz getriebene Marketingkommunikation

iCrowdnewswire German

Lastpass behebt Fehler, der bösartige Websites Ihr zuletzt verwendetes Passwort extrahieren lassen könnte

Sep 17, 2019 1:43 AM ET

Illustration von Alex Castro / The Verge

LastPass hat einen Fehler gepatcht, der es einer bösartigen Website ermöglicht hätte, ein früheres Passwort zu extrahieren, das von der Browser-Erweiterung des Dienstes eingegeben wurde. ZDNet berichtet, dass der Fehler von Tavis Ormandy, einem Forscher im Project Zero-Team von Google, entdeckt und in einem Fehlerbericht vom 29. August veröffentlicht wurde. Lastpass behob das Problem am 13. September, und stellte das Update auf alle Browser, wo es automatisch angewendet werden sollte, etwas Lastpass Benutzer wäre intelligent zu überprüfen.

Der Fehler funktioniert, indem Benutzer auf eine bösartige Website gelockt werden, und die Browser-Erweiterung täuschen, ein Passwort von einer zuvor besuchten Website zu verwenden. Ormandy stellt fest, dass Angreifer einen Dienst wie Google Translate verwenden könnten, um eine bösartige URL zu verschleiern und anfällige Benutzer dazu zu bringen, eine nicht autorisierte Website zu besuchen.

Tavis Ormandy

✔@taviso

 

LastPass könnte die zuletzt verwendeten Anmeldeinformationen aufgrund eines Cachenicht aktualisiert lecken. Dies lag daran, dass Sie den Aufgefüllten des Tabatifinifindatencache umgehen können, indem Sie das Anmeldeformular auf unerwartete Weise einschließen! https://twitter.com/ProjectZeroBugs/status/1173400848430321664

Project Zero Bugs @ProjectZeroBugs
 

lastpass: Umgehung do_popupregister() leaks Credentials von früheren Website https://bugs.chromium.org/p/project-zero/issues/detail?id=1930

603

Twitter Ads Info und Datenschutz
334 Personen sprechen darüber
 
 

Obwohl Lastpass sagt, dass das Update automatisch angewendet werden sollte, sollten Sie auf jeden Fall überprüfen, ob Sie die aktuellste Version der Browser-Erweiterung des Dienstes ausführen, vor allem, wenn Sie einen Browser verwenden, mit dem Sie automatisch deaktivieren können Updates für Erweiterungen. Der Fehler wurde mit Version 4.33.0 der Erweiterung gepatcht. Lastpass sagte, dass es glaubte, dass nur die Chrome und Opera Browser wurden von dem Fehler betroffen, aber dass es den gleichen Patch für alle Browser als Vorsichtsmaßnahme bereitgestellt.

In einer Erklärung auf seinem Blog veröffentlicht, Lastpass spielte den Schweregrad des Fehlers. Der Security Engineering Manager des Unternehmens, Ferenc Kun, sagte, dass der Exploit auf einem Benutzer beruhte, der eine bösartige Website besuchte und dann dazu verleitet wurde, auf die Seite “mehrmals” zu klicken. Ormandy gab dem Fehler dennoch eine “Hohe” Schwerebewertung. Der Fehler wurde verantwortungsvoll an Lastpass offenbart, bevor er veröffentlicht wurde, und es gibt keine Beweise dafür, dass ein Exploit jemals im Internet bereitgestellt wurde.

Trotz dieses Fehlers ist die Verwendung eines Passwort-Managers immer noch eine gute Maßnahme, um Ihrer Online-Sicherheit willen. Die Existenz des Fehlers unterstreicht die Tatsache, dass Passwort-Manager, wie jeder Online-Dienst, immer noch anfällig für Sicherheitsprobleme sein können. Daher ist es eine gute Idee, allen Websites, die dies unterstützen, eine Zwei-Faktor-Authentifizierung hinzuzufügen, zusammen mit der Verwendung sicherer eindeutiger Kennwörter, die Sie nie zwischen Diensten wiederverwenden.

Contact Information:

Jon Porter
Keywords:  afds, afdsafds

Tags:  German, News, United States, Wire