LastPass-Sicherheitsupdates

ZEITSTEMPEL: 13:15 ET

Die Sicherheit ist das A und O hier bei LastPass. Unsere höchste Priorität ist immer, so schnell wie möglich auf gemeldete Sicherheitslücken zu reagieren und diese zu beheben.

Als Reaktion auf vor kurzem veröffentlichte News möchten wir näher auf zwei Sicherheitslücken eingehen, über die unser Team in Kenntnis gesetzt wurde. Einer dieser Reports wurde gestern an uns übermittelt, während die andere Lücke vor mehr als einem Jahr von einem verantwortungsbewussten User gemeldet und unverzüglich von uns behoben wurde. Beide Exploits setzen übrigens voraus, dass der Benutzer im Rahmen eines Phishing-Angriffs dazu gebracht wird, eine bösartige Website aufzurufen.

Die erste Lücke wurde unserem Team vor mehr als einem Jahr von Sicherheitsforscher Mathias Karlsson auf verantwortungsbewusste Weise gemeldet und zu diesem Zeitpunkt behoben. Karlsson hat vor kurzem einen Beitrag über den URL-Parsing-Fehler veröffentlicht. Wir haben damals alle Browserclients aktualisiert und die erfolgreiche Fehlerkorrektur von Karlsson verifizieren lassen. Seitens unserer User war keine Maßnahme erforderlich.

Der zweite Report erreichte uns gestern und stammt von Tavis Ormandy, einem Sicherheitsforscher von Google. Er informierte unser Team über einen Fehler im Firefox-Add-on von LastPass, der dazu führte, dass Nachrichten abgefangen werden konnten. Zunächst müsste der Angreifer den LastPass-Benutzer allerdings erfolgreich auf eine präparierte Website locken. Sobald der User auf dieser Website ist, kann diese dann ohne Wissen des Benutzers im Hintergrund LastPass-Aktionen ausführen und z. B. Elemente löschen, wie Ormandy unter Beweis stellte. Wie Sie weiter unten lesen können, haben wir dieses Problem zur Gänze behoben und ein Update mit einer Fehlerkorrektur an alle Firefox-User mit LastPass 4.0 gepusht.

Weitere Empfehlungen

Wir wissen, dass die LastPass-Community mit dem Thema Sicherheit bestens vertraut ist, möchten Sie aber dennoch an einige bewährte Vorgehensweisen für Ihre Sicherheit im Internet erinnern:

  • Nehmen Sie sich vor Phishing-Angriffen in Acht. Klicken Sie auf keine Links von Unbekannten und auch auf keine verdächtig erscheinenden Links von Kontakten und Unternehmen, denen Sie normalerweise vertrauen.
  • Verwenden Sie für jeden Online-Account ein anderes Passwort, das es nur einmal gibt.
  • Verwenden Sie für Ihr LastPass-Konto ein starkes und sicheres Master-Passwort und teilen Sie es niemandem mit; auch nicht uns.
  • Aktivieren Sie die Zwei-Faktor-Authentifizierung für LastPass und andere Dienste wie Ihr Online-Banking, Ihren E-Mail-Account, Twitter, Facebook usw.
  • Schützen Sie Ihren Computer vor Bedrohungen, indem Sie einen Virenscan machen und Ihre Software stets auf dem neuesten Stand halten.

Wir möchten Tavis und Mathias sowie anderen Mitgliedern unserer Security-Community erneut dafür danken, dass sie uns Sicherheitslücken auf verantwortungsbewusste Weise melden. Wir schätzen ihre Arbeit sehr, da sie uns hilft, unser Produkt stärker und sicherer zu machen.

____

Hier ein kurzer Überblick über die wichtigen Fehlerkorrekturen, die als Reaktion auf zwei unlängst gemeldete Sicherheitslücken vorgenommen wurden. Unser Team arbeitete direkt mit den Sicherheitsforschern zusammen, um die Reports zu überprüfen und eine Fehlerkorrektur für die LastPass-User zu veröffentlichen.

Die jüngste Meldung betrifft nur Firefox-User. Wenn Sie Firefox in Verbindung mit LastPass 4.0 oder einer neueren Version nutzen, erhalten Sie über Ihren Browser ein Update mit der Fehlerkorrektur, Version 4.1.21a. Falls Sie Ihren Client proaktiv aktualisieren möchten, dann können Sie das Update hier herunterladen: https://lastpass.com/lastpassffx. In Ihrem LastPass-Browser-Add-on sehen Sie, welche Version Sie nutzen. Sie finden diese Information im Menü „Weitere Optionen“ unter „Über LastPass“. Wenn Sie LastPass 3.0 verwenden, sind Sie nicht betroffen und müssen Ihr Add-on nicht aktualisieren.

Andere Browser sind von dieser Schwachstelle nicht betroffen und die Nutzer anderer Browser müssen nichts tun.

Wir wissen die Arbeit der Security-Community wie immer sehr zu schätzen. Verantwortungsbewusste User stellen die Sicherheit unseres Produktes auf die Probe und helfen uns, den LastPass-Dienst noch sicherer zu machen. Weitere Informationen zu diesen Fehlerkorrekturen werden in Kürze hier veröffentlicht.