LastPass soll wieder eine Lücke haben

Nutzer des beliebten Passwort-Managers LastPass sollten in den nächsten Tagen die Augen aufhalten und zur Verfügung stehende Updates nicht ignorieren. Wiederholungstäter Tavis Ormandy aus Googles Sicherheitsprojekt „Zero“ war wieder unterwegs. Der fand schon in einigen Systemen Sicherheitslücken und bereits im Jahre 2016 gelang ihm bei LastPass ein Fund. Damals sprach er von offensichtlichen und kritischen Problemen, die dann aber offenbar von LastPass beseitigt werden konnten.

Nun gibt es aber mindestens eine neue Sicherheitslücke, die Tavis Ormandy bereits an LastPass gemeldet hat. Unter Windows konnte er eine Remote Code Execution mit zwei Zeilen Javascript ausführen. So wie es ausschaut, ist so das Ausführen beliebiger Anwendungen möglich, unter Umständen lassen sich auch Passwörter abgreifen.

Betroffen sind hier die Versionen 4.1.42 der Erweiterungen für Chrome und Firefox, Tavis Ormandy ist aber der Meinung, dass die Lücke auch andere Systeme betreffen könne.

Tavis Ormandy empfahl vor einigen Monaten den Passwort-Manager KeePass, hier gab er die Aussage, dass diese Lösung „auf ihn vernünftig wirke“.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

21 Kommentare

  1. Regel Nr.1: Speichere keine Passwörter in der Cloud. Niemals! Nie!

  2. alles in einer hand ist immer unsicher. besserer tip zb 1password nutzen und mit syno selbst syncen.

  3. Quoportium says:

    Caschy, was sagst Du. Passwörter einem Passwortmanager anvertrauen oder nicht?

  4. @Heiko
    Mimimimimi

  5. starik1968 says:

    bei FF ist doch 3.3.2 aktuell via der Add-On-Page, 4er gibt es nur per Direktdownload

  6. Ich fürchte mich schon vor dem Tag, an dem 1Password kompromitiert wird. Und der Tag wird kommen…

  7. Ich verstehe es wirklich nicht. Wieso nutzt man solche Dinge, um auf der einen Seite sicher zu sein, weil man für jeden Dienst und jede Seite ein eigenes Passwort hat – legt all diese Daten dann aber gleichzeitig auf irgendeinen Server einer fremden Person (Unternehmen). Wieso? Bequemlichkeit? Sonstige Vorteile?

    Das meine ich ernst. Es interessiert mich wirklich, was der Vorteil von solchen Diensten ist. KeePass bietet doch z.B. das selbe an und ich habe die Datenbank selbst unter Kontrolle.

    Klärt mich bitte auf.

  8. Ich verstehe es auch nicht. Ist es nur so schwer sich Passwörter zu merken? Klar ab nem gewissen Punkt werden es verdammt viele nur da sollte man sich ne gescheite Strategie überlegen, wie man einfach mit dem jeweiligen Account das Passwort assoziieren kann. Alles in ein Programm zu packen und dann mit vielleicht nur einem Passwort zu schützen klingt verlockend einfach, ist allerdings nicht nur für euch verlockend einfach. Je einfacher für euch umso einfacher für den Angreifer. Wird immer irgendwo ne Lücke bzw. ne Möglichkeit geben an den vermeintlich sicheren Inhalt von solchen Programmen zu kommen und was ist dann? Alle Passwörter futsch. Viel Spaß beim wiederherstellen. Da gehe ich lieber den altmodischen Weg und sehe zu jeden Account einzeln gescheit abzusichern. Stichwort 2FaktorAuthentifizierung.

  9. @Bo: ich war lange Lastpass Premium-User – und habe natürlich auch die grundsätzlichen Probleme solcher Lösungen gesehen. Alle möglichen Alternativen gesichtet, intensiv getestet, aber immer wieder zu Lastpass zurück gekehrt. Warum? Weil es schlicht und ergreifend funktional MIT ABSTAND das Beste ist. Unglaublich gute Integration auf ALLEN Plattfomen, selbst auf meinem Chromebook und unter Android.

    Trotzdem: letztes Jahr habe ich ich schweren Herzens durchgerungen, auf die wohl einzig sichere PW-Manageralternative, nämlich KeePass zu setzen. Ja, es geht. Aber das Ganze ist und bleibt bei weitem nicht so geschmeidig wie Lastpass. Dafür habe ich jetzt ein gutes Gewissen und kann besser schlafen 😉

    @Seb: ein Leben ohne Passwortmanager ist möglich, aber sinnlos :-))) Ernsthaft: ich habe fast 600 Datensätze drin. Logins, Seriennummer, Aktivierungscodes und und und. Alle Passwörter sind maschinell generiert und kryptisch. Ich verfüge nicht über einen IQ von 5.000, um sowas auch nur annähernd mit meinem Kopf zu bewerkstelligen. 2-Faktor-Authentisierung ist bei solchen Lösung sowieso Pflicht aus meiner Sicht.

  10. Ich habe vor kurzem mal die 2-faktor-auth angeschmissen. lastpass nutze ich schon mindestens 3 jahre, die hälfte der zeit als premium-user, ich habe auch meine KKs dadrin.

  11. Ich weiß schon warum ich meine Passwörter auf den Google Servern Speicher, niemand hat sicherere Technik als die NSA 😉

  12. „unter Umständen lassen sich auch Passwörter abgreifen.“, „…dass diese Lösung „auf ihn vernünftig wirke“. Wenn ich solche Aussagen lese wird mir schlecht denn die besagen nichts, aber auch nichts aus., so nach dem Motto hätte hätte Fahradkette.

  13. Günxmürfel says:

    Ich bin schon seit vielen Jahren zahlender Lastpass Kunde und bisher habe ich es nicht bereut. Die Passwörter werden lokal ver- und entschlüsselt, in der Cloud landet nur der verschlüsselte Container. Mit einem einigermaßen vernünftigen Masterpasswort ist das grundsätzlich erstmal sicher. Problem bleibt der Client, in dem natürlich Bugs vorhanden sein können. Das ist bei Keepass aber nicht anders. Bisher hat Lastpass immer sehr gut und transparent mit seinen Usern kommuniziert und die bisher aufgetretenen Probleme waren nie wirkliche Gamebreaker, sondern eher theoretischer Natur. Ob das in diesem Fall auch wieder so ist, wird sich zeigen. Was ich an Lastpass gegenüber Keepass schätze, ist die Plattformvielfalt und extrem gute Usability. Mein Vertrauen in die Entwickler ist hoch, mitlerweile gehlört die Firma übrigens zu Citrix, auch nicht gerade eine Hinterhofklitsche.

  14. @Günxmürfel – ganz sicher? Lastpass ist unter lautem Getöse (im negativen Sinne) von LogMeIn akquiriert worden, ja. Dass das wirklich unter dem Citrix-Label weiterläuft, scheint nicht so ganz klar sein:

    https://news.ycombinator.com/item?id=13560087

  15. Günxmürfel says:

    @Matze: Die Aquirierung von LogMeIn ist ja schon etwas her. Aber du hast Recht, da habe ich wohl nicht genau genug gelesen. LogMeIn und GoTo (bisher 100% Tochter von Citrix) sind fusioniert und Citrix hat dafür Anteile von LogMeIn bekommen, scheinbar aber keine Mehrheit.

  16. Laut Nutzerberichten ist die Sicherheitslücke trotz Fix NICHT behoben, obwohl Lastpass was anderes behauptet:

    https://news.ycombinator.com/item?id=13927400

    Wer heute noch einen Closed-Source-Passwortmanager benutzt und ihm dann auch noch gleichzeitig Internetzugriff gewährt, der handelt grob fahrlässig und hat den Schuss nicht gehört.

  17. @Bo (@CdrBo)
    Du hast das Prinzip nicht verstanden, Die Passwörter werden lokal verschlüsselt mit AES-256. Erst danach werden die in der Cloud gespeichert.

    Dadurch ist es sicher. Ich hatte noch nie ein Problem damit und nutze bereitis seit mehr als 10 Jahren einen Passwortmanager. Natürlich nicht Lastpass die hatten ja schon etliche Sicherheitsprobleme.

  18. @sunworker

    Oh Mann.. ich bin so froh, dass du mich aufklärst. Ich meine.. klar, was weiß dieser Caschy schon? Der schreibt ja oben nur von einer Sicherheitslücke, durch die u.U. auch Passworter abgegriffen werden könnten. Oder Tavis Ormandy, der schon mehrere Sicherheitslücken entdeckt hat. Unter Anderem, dass extrem schlecht umgesetzte offizielle Browser-Erweiterungen so fehlerhaft waren, dass auch darüber Passwörter gestohlen werden konnten.

    Da oben steht was von einer Sicherheitslücke, durch die u.U. auch Passwörter abgefangen werden könnten. Gleichzeitig gibt es Links zu vorherigen gravierenden Lücken und Risiken. Es gab bereits Probleme mit den offiziellen Erweiterungen, durch die auch Passwörter abgefischt werden konnten. Mehrmals wurde vor LastPass gewarnt. Und dann kommst du und sagst dat Ding is sicher – du verstehst es nur nicht.. !?

    Wenn es doch nur immer so einfach wäre..

  19. Ergänzung an sunworker

    War es nicht in der Vergangenheit so, dass man sich bei LastPass das vergessene Passwort per Mail zuschicken lassen konnte? Bzw einen Link?

    Wenn ich also 3 min an einem fremden Rechner sitzen kann, sende ich mir dort selbst ein neues Passwort zu und habe Zugriff auf alles?

    Oder habe ich das auch nur falsch verstanden?

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung.