Letzte Woche haben die Entwickler des beliebten Passwort-Managers LastPass ein Update veröffentlicht, das eine Schwachstelle behebt, die zum Verlust von Benutzerdaten führen könnte. Das Problem wurde nach seiner Behebung bekannt gegeben und LastPass-Benutzern wurde empfohlen, ihren Passwort-Manager auf die neueste Version zu aktualisieren.
Es handelt sich um eine Sicherheitslücke, die von Angreifern genutzt werden könnte, um Daten zu stehlen, die der Benutzer auf der zuletzt besuchten Website eingegeben hat. Das Problem wurde letzten Monat von Tavis Ormandy entdeckt, einem Mitglied des Google Project Zero-Projekts, das Forschungen im Bereich Informationssicherheit durchführt.
LastPass ist derzeit der beliebteste Passwort-Manager. Die Entwickler haben die zuvor erwähnte Schwachstelle in der Version 4.33.0 behoben, die am 12. September öffentlich verfügbar wurde. Wenn Benutzer die automatische Aktualisierungsfunktion von LastPass nicht nutzen, wird ihnen empfohlen, die neueste Version der Software manuell herunterzuladen. Dies muss so schnell wie möglich erfolgen, da die Forscher nach der Behebung der Schwachstelle deren Details veröffentlicht haben, die von Angreifern zum Diebstahl von Passwörtern von Geräten verwendet werden können, auf denen die Anwendung noch nicht aktualisiert wurde.
Die Ausnutzung der Sicherheitslücke beinhaltet die Ausführung von bösartigem JavaScript-Code auf dem Zielgerät ohne jegliche Benutzerinteraktion. Angreifer können Benutzer auf bösartige Websites locken, um in einem Passwort-Manager gespeicherte Anmeldeinformationen zu stehlen. Tavis Ormandy glaubt, dass das Ausnutzen der Sicherheitslücke recht einfach ist, da Angreifer einen bösartigen Link verschleiern und den Benutzer dazu verleiten können, darauf zu klicken, um die auf der vorherigen Website eingegebenen Anmeldeinformationen zu stehlen.
Vertreter von LastPass äußern sich nicht zu dieser Situation. Derzeit sind keine Fälle bekannt, in denen diese Schwachstelle von Angreifern ausgenutzt wurde.
Source: 3dnews.ru