Google-onderzoeker Tavis Ormandy heeft weer een ernstig beveiligingslek in de wachtwoordmanager LastPass gevonden waardoor kwaadaardige websites de systemen van gebruikers kunnen overnemen. Vorige week ontdekte Ormandy ook al twee kwetsbaarheden die vervolgens werden gepatcht.
"Ik had een openbaring in de douche deze ochtend en besefte hoe ik in LastPass 4.1.43 code kon uitvoeren", aldus Ormandy op Twitter. Hij waarschuwde vervolgens LastPass, dat op de eigen website bevestigt dat het de melding heeft ontvangen en aan het onderzoeken is. LastPass 4.1.43 is de laatste versie van de wachtwoordmanager voor Google Chrome, die zo'n 5,7 miljoen gebruikers heeft. LastPass is een clouddienst waar gebruikers hun wachtwoorden voor allerlei websites in een 'kluis' kunnen opslaan. De gebruiker hoeft alleen een hoofdwachtwoord te onthouden om de opgeslagen wachtwoorden te gebruiken.
LastPass heeft een reactie online gezet. Volgens de ontwikkelaars gaat het om een unieke en geraffineerde aanval. Er zal echter geen informatie over het probleem worden gedeeld totdat de patch beschikbaar is. Daarnaast bedanken de ontwikkelaars van LastPass Ormandy voor zijn werk om de wachtwoordmanager veiliger te maken. Afsluitend krijgen gebruikers het advies om websites direct vanuit LastPass te starten en waar mogelijk tweefactorauthenticatie in te schakelen.
Deze posting is gelocked. Reageren is niet meer mogelijk.