LastPass verhelpt lek waardoor wachtwoorden konden lekken

[Captain Kirk]

Er is een nieuwe versie van de populaire wachtwoordmanager LastPass verschenen die een kwetsbaarheid verhelpt waardoor opgeslagen wachtwoorden van gebruikers konden lekken. Het beveiligingslek was ontdekt door onderzoeker Tavis Ormandy van Google.

LastPass is een populaire wachtwoordmanager die gebruikers hun wachtwoorden in de cloud laat opslaan. Een probleem met het cachegeheugen van de wachtwoordmanager zorgde ervoor dat een kwaadaardige website het laatst gebruikte wachtwoord kon achterhalen. Alleen het bezoeken van de kwaadaardige website was voldoende, er was geen verdere interactie van gebruikers vereist. Ormandy rapporteerde het probleem op 30 augustus aan LastPass. Op 12 september verscheen er een nieuwe versie van de wachtwoordmanager. In de release notes heeft LastPass het over 'minor bug fixes'.

Ormandy bestempelt de impact van de kwetsbaarheid echter als "high". De onderzoeker wilde de details afgelopen vrijdag 13 september openbaar maken, maar stelde dit uit omdat hij onderweg was. Gebruikers krijgen het advies om te updaten naar LastPass 4.33.0 / 4.33.4. Ormandy, die in het verleden vaker kwetsbaarheden in LastPass ontdekte, is van plan om later een demonstratie-exploit voor de kwetsbaarheid online te zetten.

 

 

bron: security.nl