Quelle: Pixabay

Bösartige Websites konnten letztes benutztes Passwort aus Lastpass auslesen

Der Passwort-Manager Lastpass enthält in seiner aktuellen Version einen Fix für einen Bug, der es manipulierten Websites ermöglichte, das letzte vom benutzte Passwort aus dem Browser auszulesen.

16. September 2019

Passwort-Manager sind gemacht, um die Logins der Nutzer nicht nur zu speichern, sondern auch, um diese zu schützen. Offenbar war aber gerade Lastpass, ein populärer Passwort-Manager, von einer Lücke betroffen, die es Cyberkriminellen ermöglichte, das letzte vom Nutzer verwendete Passwort aus einem Browser auszulesen. Wie aus einem Bericht von "The Verge" zu entnehmen ist, hat der Sicherheitsexperte Tavis Ormandy von Google Project Zero die Lücke entdeckt und am 29. August gemeldet.

LastPass could leak the last used credentials due to a cache not being updated. This was because you can bypass the tab credential cache being populated by including the login form in an unexpected way! https://t.co/bfLdDzSWS5
— Tavis Ormandy (@taviso) 16. September 2019