Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 25 reacties
Submitter: Xaverius

LastPass heeft bekendgemaakt dat het lek dat eerder woensdag werd ontdekt, in de Firefox-addon van de wachtwoordmanager zit. Er is een update gemaakt om het lek te dichten en deze wordt naar de gebruikers gestuurd.

In een blog reageert LastPass op de berichtgeving over het lek dat woensdag werd ontdekt. Volgens de makers van de wachtwoordmanager hadden kwaadwillenden het lek kunnen misbruiken door gebruikers naar een kwaadaardige website te lokken. Gebruikers van LastPass 4.0 in combinatie met Firefox zouden dan kwetsbaar zijn. Het ontdekte lek is niet van toepassing voor gebruikers met andere browsers.

LastPass is bezig met het uitsturen van een update die het lek dicht naar de Firefox-gebruikers. Het is ook mogelijk om de fix zelf te downloaden. In versie 4.1.21a is het lek gedicht. Gebruikers kunnen controleren welke versie ze draaien door in de Firefox-addon in het More Options-menu op About LastPass te klikken. Het lek zat enkel in versie 4.0, gebruikers van LastPass 3.0 hoeven geen actie te ondernemen.

Google-onderzoeker Tavis Ormandy maakte eerder op woensdag bekend dat hij een op afstand te gebruiken lek in de wachtwoordmanager ontdekt had. Volgens Ormandy ging het om een 'complete remote compromise', dat waarschijnlijk het op afstand uitlezen van wachtwoorden mogelijk maakte. Ormandy heeft LastPass direct ingelicht en inmiddels is het betreffende lek dat naar nu blijkt in de Firefox-addon zit, gedicht.

Woensdag verscheen er ook een ander verhaal van Detectify Labs in de media over een kwetsbaarheid in LastPass. Het gaat daarbij om een andere kwetsbaarheid, maar LastPass meldt nu dat dit zich meer dan een jaar geleden afspeelde en dat het lek destijds meteen is gedicht.

 

Moderatie-faq Wijzig weergave

Reacties (25)

Let op: installeren van de Firefox addon op de lastpass.com site installeerde bij mij zojuist nog een oudere versie die wel kwetsbaar is. Ook het updaten van de addon via Firefox leverde voor mij een welliswaar iets nieuwere versie op, maar deze werd geadverteerd als 4.1.21 en niet 4.1.21a. Hieronder staat wel "Built: 2016-07-27 10:15:48" dus ik vermoed dat dit toch de versie met fix is.

[Reactie gewijzigd door SubSpace op 28 juli 2016 07:41]

Klopt, 4.1.21a kan ik nergens downloaden.
Edit: inmiddels wel.

[Reactie gewijzigd door VonFoX op 28 juli 2016 12:16]

Vreemd genoeg kreeg ik 10 minuten later wel de juiste versie via de website... Wellicht verouderde meuk ergens op een CDN.
De versie die je op Addons.Mozilla.org kunt downloaden is standaard 3.x (niet kwetsbaar). Onderaan op de pagina kun je de bŤtaversie (4.x) downloaden; dat is de versie die een update heeft ontvangen.
Je kunt beter bij de 3.x versie blijven. Deze is niet kwetsbaar en werkt tenminste.

In de 4.1.21a versie zit een aantal hele irritante bugs en instabiliteiten waardoor:
- Je password vault ineens leeg is
- Alle sites / logins matchen, waardoor je een enorme lijst moet doorzoeken bij inloggen
- Je CPU gebruik naar 100% schiet en Firefox seconden lang blijft hangen

Zou dus even wachten met upgraden; ben zelf inmiddels ook weer terug naar 3.x
LastPass heb je toch niet nodig met Fx? Je kan toch een hoofdwachtwoord gebruiken?
Als je meerdere devices hebt waar je gebruikt wil maken van een wachtwoordmanager of misschien wil je dingen opslaan die helemaal niet bij een website horen dan is dat niet echt voldoende.
De populariteit van lastpass is juist zo groot omdat het overall werkt met alle browsers en alle devices. Niet omdat Firefox een feature heeft die alleen op hun browsers werkt
Ben benieuwd of die ook in de LastPass Edge extensie zit.
Nog 6 dagen wachten voor een officiŽle uitspraak
(zodra de functie voor iedereen komt met de W10 Anniversary Update).
daar waren ze anders al vrij duidelijk in, neen dus.
The recent report only affects Firefox users.

[Reactie gewijzigd door white modder op 28 juli 2016 07:52]

Mocht die erin gezeten hebben, ga ik er vanuit dat deze gefikst is. De extensie wordt op dit moment bijna dagelijks geŁpdatet op mijn machine met een Insider preview.

Edge extensies zijn vooral gebaseerd op Chrome extensies en aangezien het hier alleen om Firefox gaat, zou mijn inschatting zijn dat die niet het lek heeft. Maar dat is speculeren
Versie 4.1.21
Compilatie: 2016-07-27 10:15:48
Binary Component: waar (ctypes versie 4.1.7, Versie May 2 2016 13:13:58)
Ik heb hem gedownload, maar ik heb deze ipv de a versie.
In versie 4.1.21a is het lek gedicht

[Reactie gewijzigd door Yzord op 27 juli 2016 22:10]

Als je bij Firefix add-ons bij LastPass 'more' aanklikt dan staat er wel 4.1.21a. De more options -> about LastPass werkt blijkbaar alleen met cijfers in de versie-text.
Snel opgepakt door LastPass, hoop dat het ook echt is verholpen.
Goede en snelle actie, complimenten!
Ik vind het wel zo netjes hoe LastPass dit zo snel oplost. Natuurlijk zet Google ze wel onder druk, door het bekend te maken dat er een security lek was. Hadden ze dit niet adequate opgelost, dan zouden ze een slechte naam krijgen en natuurlijk veel gebruikers verliezen.

Ik gebruik zelf LastPass, maar zonder de browser plugins. Ik vond de plugins af en toe wat irritant, dus nu haal ik de passwords direct zelf uit de LastPass website.

Daarnaast gebruik ik Google Authenticator (technish gezien FreeOTP op android) voor extra veiligheid.
Wat ik hier toch soms mis is wat meer informatie over de exploit zelf.
Wat valt er te missen? De informatie staat in een link in dit artikel naar een nieuwsbericht van eerder op de dag. En dan nog met een samenvatting ook.
[...]
Google-onderzoeker Tavis Ormandy maakte eerder op woensdag bekend dat hij een op afstand te gebruiken lek in de wachtwoordmanager ontdekt had. Volgens Ormandy ging het om een 'complete remote compromise', dat waarschijnlijk het op afstand uitlezen van wachtwoorden mogelijk maakte
Als je niet kunt/wil lezen, ja dan mis je wel wat...
Zoals ik al zei mis ik de informatie over de exploit zelf. Hoe deze werkt.

Het artikel dat eerder gepost was heeft nu mits een update wel wat informatie over een exploit, maar deze is van een andere onderzoeker, en zou niet dezelfde zijn als degene die Tavis O. gevonden had.
Een 'lokale' password file, van een password manager, op OneDrive is veiliger dan zo'n online password manager. Je passwords liggen dan pas op straat als zowel OneDrive en de password manager gelijktijdig lek zijn. Die kans is al een stuk kleiner.
Beide Lastpass lekken komen door browser integraties die de username en wachtwoord autofillen op de pagina.

Dat kan ook bij een lokale password app gebeuren (Safeincloud, enpass, etc).
1 foutje in het herkennen van de website waar je op zit en de autofill vult zo je credentials in op de kwaadwillende zijn website.
Lastpass werkt net zo; lokale encrypted password file die behalve lokaal ook in de cloud bij Lastpass is opgeslagen. Ja er zijn lekken maar LastPass weet dit steeds snel te adresseren. Mijn vertrouwen in LastPass is nog steeds op zelfde niveau en gebruik het graag. Veel meer gebruikersgemak dan zo'n lokale file op OneDrive en ook nog eens 2FA.
Voor zover ik begrijp is deze opmerking niet relevant voor deze specifieke bug. Het was geen server kwetsbaarheid.

Verder zit er wel een kern van waarheid in. Maar lastpass reageert wel ontzettend snel op kwetsbaarheden. En ze hebben ook al eens een uitgebreide audit gehad en resultaten verwerkt. Dat pleit wel voor ze. Dus ik zou er wel vertrouwen in hebben. Uiteraard wel met sterk master wachtwoord en 2fa.
kan ik hier uit besluiten dat het lek enkel in de firefox plugin zat?

edit: staat een drietal keer in het artikel zelf..was duidelijk niet goed wakker...

[Reactie gewijzigd door telenut op 28 juli 2016 06:58]

Zo staat het wel in het artikel... "Gebruikers van LastPass 4.0 in combinatie met Firefox zouden dan kwetsbaar zijn. Het ontdekte lek is niet van toepassing voor gebruikers met andere browsers."

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True