Er is een nieuwe versie van wachtwoordmanager LastPass uitgebracht. In deze uitgave is een beveiligingslek verholpen, waardoor wachtwoorden van gebruikers konden lekken.
Onderzoeker Tavis Ormandy van Google heeft deze kwetsbaarheid ontdekt en hier recentelijk over gepubliceerd.
Cachegeheugen
LastPass stelt gebruikers in staat om hun wachtwoorden in de cloud op te slaan. Er bleek echter een probleem met het cachegeheugen van de wachtwoordmanager te zijn. Hierdoor kon een malafide website het laatst gebruikte wachtwoord onderscheppen. Een bezoek aan de kwaadaardige pagina zonder verdere interactie was daarvoor al genoeg.
Updaten naar LastPass 4.33.0 / 4.33.4
Ormandy meldde het probleem op 30 augustus aan LastPass. Op 12 september werd een nieuwe versie beschikbaar gesteld. In de release notes spreekt LastPass zelf over “minor bug fixes”. Ormandy classificeert de impact van de kwetsbaarheid echter als “high”. Gebruikers krijgen dan ook het advies om te updaten naar de meest recente versie: LastPass 4.33.0 / 4.33.4. Ormandy heeft aangekondigd om op een later tijdstip een demonstratie-exploit voor het beveiligingslek online te publiceren.