Last Pass mit Zero-Day-Lücke

  • Klingt witzig, ist aber für die Nutzer ein Problem....

    Zitat

    Beim Duschen ist Security-Spezialist Tavis Ormandy eingefallen, wie man die aktuelle Version des Passwort-Managers LastPass zur Ausführung von Schadcode bringen kann. Der Hersteller hat einen Patch angekündigt und gibt Tipps zur Schadensbegrenzung.


    ...

    Zitat

    LastPass will patchen – und rät, den Tresor zu nutzen

    LastPass reagiert mit einem Blog-Eintrag auf Ormandys Entdeckung. Das Unternehmen erklärt, dass die Attacke ungewöhnlich und hochgradig anspruchsvoll ist. Ein Patch sei bereits in Arbeit, weitere Details will LastPass erst nach dessen Veröffentlichung verraten. Bis dahin hält das Unternehmen seine Nutzer ohne genauere Begründung an, die mit LastPass verwalteten Websites über den Tresor (Vault) aufzurufen. Dies sei der sicherste Weg, auf Zugangsdaten und Sites zuzugreifen, bis das Problem gelöst ist.

    Ferner empfiehlt LastPass, auf allen Sites, die es anbieten, die Zwei-Faktor-Authentifizierung zu aktivieren – das ist unabhängig von dem aktuellen Sicherheitsproblem ein wertvoller Ratschlag. Der dritte und letzte Tipp ist, sich vor Phishing-Angriffen in Acht zu nehmen.


    Quelle

    Stellungnahme vom Hersteller:
    https://blog.lastpass.com/2017/03/securi…extension.html/