Jacky O
by on 17 September, 2019
19 views

Mit einem Update haben die Entwickler von LastPass ein Datenleck geschlossen, über das Passwörter hätten abfließen könnten. 
Googles bekannter Sicherheitsforscher Tavis Ormandy hat gezeigt, wie eine beliebige Website dem Passwort-Manager LastPass mit etwas Trickserei das letzte verwendete Passwort einer anderen Seite entlocken konnte. Mittlerweile haben die Entwickler das Sicherheitsproblem gelöst und die Ausgabe 4.33.0 ist abgesichert. 

Damit das klappt, hätten Angreifer Opfer auf eine präparierte Website locken und es dazu bringen müssen, Elemente anzuklicken (Clickjacking). Log-in-Daten einer vorher besuchten Seite hätten leaken könne, weil LastPass den Tab-Credential-Cache nicht aktualisiert hat. In einem Beitrag beschreibt Ormandy im Detail, wie das funktionierte.
 

Posted in: Technology
Be the first person to like this.
Be the first person to like this.