lastpass logoGoogle-beveiligingsonderzoeker Tavis Ormandy claimt een op afstand te gebruiken lek in de populaire wachtwoordmanager LastPass te hebben gevonden. Volgens hem gaat het om een 'complete remote compromise'.

Er zijn nog geen verdere details over de kwetsbaarheid bekend, de onderzoeker heeft tot nu toe alleen via Twitter laten weten dat hij een rapport met zijn bevindingen naar LastPass heeft gestuurd. Het lijkt erop dat hij het lek in korte tijd heeft gevonden, omdat hij vijf uur na de aankondiging dat hij naar kwetsbaarheden in de software gaat zoeken de betreffende tweet uitstuurde.

Het lijkt erop dat het om een ernstig lek gaat, dat waarschijnlijk het op afstand uitlezen van wachtwoorden mogelijk maakt. De onderzoeker belooft ook naar het alternatief 1Password te kijken en de software op kwetsbaarheden te onderzoeken. Ormandy vindt regelmatig lekken in verschillende producten, waaronder die van AVGTrend Micro en Comodo. Het is te verwachten dat LastPass binnenkort met een patch en bijbehorende uitleg komt.

Tavis Ormandy

Update: Zoals tweaker MarkH NL opmerkt, heeft een andere onderzoeker woensdag eveneens een kwetsbaarheid in LastPass gepubliceerd. Deze is inmiddels echter binnen een dag door het LastPass-team opgelost, zo schrijft hij in een blogpost. Het lijkt daarom niet om dezelfde kwetsbaarheid te gaan. Het lek had te maken met de AutoFill-functie van LastPass, die url's op een verkeerde manier verwerkte. Daardoor kon de onderzoeker de LastPass-extensie zover krijgen om wachtwoorden voor een url te tonen, terwijl hij zich in werkelijkheid op een ander domein bevond.

Bron: Tweakers.net