Online-Passwort-Manager wie Lastpass sind zweifellos eine praktische Angelegenheit: Immerhin kann man damit von überall aus auf die eigene Passwortsammlung zugreifen. Freilich bedeutet die Speicherung solch sensibler Daten im Web, dass der Sicherheit des jeweiligen Anbieters besondere Bedeutung zukommt. Gerade unter diesem Blickpunkt darf ein aktueller Bericht durchaus zum Nachdenken anregen.

Ablauf

Der Google-Sicherheitsforscher Tavis Ormandy hat bei Lastpass gleich mehrere kritische Sicherheitslücken gefunden, wie er vor wenigen Tagen auf Twitter verkündete. Garniert mit der rhetorischen Frage, ob jemand den Service ernsthaft verwende, wollte er zunächst keine weiteren Details verraten, um Lastpass die Chance zu geben, die Lücken zu schließen.

Mittlerweile ist der Passwort-Service dieser Aufforderung nachgekommen, also hat Ormandy Details im Bug Tracker von Googles Project Zero veröffentlicht. Und diese zeichnen ein wenig erfreuliches Bild. Angreifer konnten über einen Fehler in der Firefox-Erweiterung für Lastpass nicht nur alle Passwörter der Nutzer auslesen sondern auch nach Belieben Veränderungen an den Einträgen vornehmen. Für einen solchen Angriff reichen ein paar Zeilen HTML/Javascript-Code, die ein Angreifer auf einer manipulierten Webseite unterbringen könnte.

Einschränkungen

Die gute Nachricht bei all dem: Von der Lücke ist lediglich die Firefox-Erweiterung betroffen, Nutzer anderer Browser waren also nicht gefährdet. Zudem ist der Fehler auch nur in der aktuellen Lastpass-4-Generation zu finden. Vor allem aber hat der Hersteller mittlerweile ein Update für das Addon veröffentlicht, das das Problem bereinigt.

Betroffene Nutzer sollten überprüfen, ob sie bereits das Update für die Lastpass-Erweiterung erhalten haben, die fehlerbereinigte Version ist 4.1.21a. Falls hier noch eine veraltete Version installiert ist, kann die Installation auch von der Seite des Herstellers manuell initiiert werden.

Es ist nicht das erste Mal, dass die Sicherheit von Lastpass in der Kritik steht. So wurde im Vorjahr ein Einbruch bei dem Service bekannt, bei dem private Informationen der Nutzer gestohlen wurden, an die Passwörter sollen die Angreifer aber nicht gekommen, hieß es damals. (apo, 29.7.2016)