Google vindt ernstig lek in wachtwoordmanager LastPass

[Captain Kirk]

Google-onderzoeker Tavis Ormandy heeft een ernstig beveiligingslek in de wachtwoordmanager LastPass ontdekt waardoor een aanvaller systemen in het ergste geval kan overnemen en anders wachtwoorden kan stelen. LastPass is een clouddienst waar gebruikers hun wachtwoorden voor allerlei websites in een 'kluis' kunnen opslaan. De gebruiker hoeft alleen een hoofdwachtwoord te onthouden om de opgeslagen wachtwoorden te gebruiken.

Ormandy ontdekte dat de Chrome- en Firefox-versie van LastPass-extensie een kwetsbaarheid bevat waardoor het mogelijk is om op afstand willekeurige code uit te voeren en wachtwoorden te stelen. Details zal de onderzoeker later bekend maken. De exploit die hij ontwikkelde om de aanval op het lek te demonstreren werkt op Windows, maar kan ook voor andere platformen worden aangepast.

LastPass laat weten dat het na te zijn ingelicht een tijdelijke oplossing heeft uitgerold en aan een permanente fix werkt. Vorig jaar ontdekte Ormandy ook al een ernstige kwetsbaarheid in LastPass waardoor het systeem van gebruikers op afstand volledig kon worden overgenomen. Kort na de aankondiging van Ormandy op Twitter over dat lek kwam LastPass met een update om het probleem te verhelpen.

 

 

bron: security.nl

[Captain Kirk]

Een aantal uren na het uitkomen van een beveiligingsupdate voor de wachtwoordmanager LastPass heeft Google-onderzoeker Tavis Ormandy opnieuw een kwetsbaarheid in de software gevonden waardoor kwaadaardige websites wachtwoorden van gebruikers kunnen stelen.

Gisteren werd bekend dat er een ernstig beveiligingslek in LastPass zat waardoor aanvallers kwetsbare systemen konden overnemen en wachtwoorden konden stelen. De kwetsbaarheid was aanwezig in de browserextensie voor Google Chrome en Firefox met versienummer 4.1.42. LastPass kwam met een update om het probleem te verhelpen. Een aantal uren na het verschijnen van de update maakte Ormandy via Twitter bekend dat hij wederom een beveiligingslek in de extensie had gevonden waardoor een website wachtwoorden van gebruikers kon stelen. LastPass laat weten dat het probleem zich in de Firefox-extensie bevindt en er aan een update wordt gewerkt.

Zo'n 750.000 Firefox-gebruikers hebben LastPass geïnstalleerd, terwijl 5,7 miljoen Chrome-gebruikers met de wachtwoordmanager werken. LastPass is een clouddienst waar gebruikers hun wachtwoorden voor allerlei websites in een 'kluis' kunnen opslaan. De gebruiker hoeft alleen een hoofdwachtwoord te onthouden om de opgeslagen wachtwoorden te gebruiken. Vorig jaar ontdekte Ormandy ook al een ernstige kwetsbaarheid in LastPass waardoor het systeem van gebruikers op afstand volledig kon worden overgenomen.

 

 

bron: security.nl

[Captain Kirk]

Een beveiligingslek in de populaire wachtwoordmanager LastPass waardoor aanvallers wachtwoorden konden stelen en bij tien procent van de gebruikers het systeem konden overnemen was sinds vorig jaar augustus aanwezig, zo laat LastPass weten. Het lek, dat door Google-onderzoeker Tavis Ormandy werd gevonden, zou voor zover bekend niet door criminelen zijn gebruikt.

In totaal ontdekte Ormandy twee kwetsbaarheden. Het eerste lek bevond zich in de Firefox-extensie van LastPass en maakte het voor websites mogelijk om wachtwoorden van gebruikers te stelen. De kwetsbaarheid was vorig jaar april al aan LastPass gerapporteerd en gepatcht. De update was echter niet voor de legacy-versie van de Firefox-extensie uitgerold. Deze legacy-versie zal volgende maand worden uitgefaseerd.

Het tweede probleem maakte het ook mogelijk voor websites om wachtwoorden van LastPass-gebruikers te stelen, maar kon bij 10 procent van de gebruikers die het "binary component" draaiden ook het systeem overnemen. LastPass heeft meer dan 6,5 miljoen gebruikers onder Chrome- en Firefox-gebruikers. Beide kwetsbaarheden werd in 2 dagen opgelost. Updates voor de Chrome- en Firefox-versies zijn inmiddels beschikbaar. De nieuwe versies voor Edge en Opera wachten nog op goedkeuring van de betreffende stores.

Om herhaling in de toekomst te voorkomen zegt LastPass dat het de controle van code en beveiligingsprocessen gaat herzien en versterken, met name als het om nieuwe en experimentele features gaat. Daarnaast bedankt het ontwikkelteam in een analyse van de bugmeldingen Tavis Ormandy voor zijn werk.

 

 

bron: security.nl