LastPass soll wieder eine Lücke haben

Nutzer des beliebten Passwort-Managers LastPass sollten in den nächsten Tagen die Augen aufhalten und zur Verfügung stehende Updates nicht ignorieren. Wiederholungstäter Tavis Ormandy aus Googles Sicherheitsprojekt „Zero“ war wieder unterwegs. Der fand schon in einigen Systemen Sicherheitslücken und bereits im Jahre 2016 gelang ihm bei LastPass ein Fund. Damals sprach er von offensichtlichen und kritischen Problemen, die dann aber offenbar von LastPass beseitigt werden konnten.

Nun gibt es aber mindestens eine neue Sicherheitslücke, die Tavis Ormandy bereits an LastPass gemeldet hat. Unter Windows konnte er eine Remote Code Execution mit zwei Zeilen Javascript ausführen. So wie es ausschaut, ist so das Ausführen beliebiger Anwendungen möglich, unter Umständen lassen sich auch Passwörter abgreifen.

Betroffen sind hier die Versionen 4.1.42 der Erweiterungen für Chrome und Firefox, Tavis Ormandy ist aber der Meinung, dass die Lücke auch andere Systeme betreffen könne.

Tavis Ormandy empfahl vor einigen Monaten den Passwort-Manager KeePass, hier gab er die Aussage, dass diese Lösung „auf ihn vernünftig wirke“.