LastPass brengt update uit voor Firefox-addon die kwetsbaarheid bevatte

LastPass heeft bekendgemaakt dat het lek dat eerder woensdag werd ontdekt, in de Firefox-addon van de wachtwoordmanager zit. Er is een update gemaakt om het lek te dichten en deze wordt naar de gebruikers gestuurd.

In een blog reageert LastPass op de berichtgeving over het lek dat woensdag werd ontdekt. Volgens de makers van de wachtwoordmanager hadden kwaadwillenden het lek kunnen misbruiken door gebruikers naar een kwaadaardige website te lokken. Gebruikers van LastPass 4.0 in combinatie met Firefox zouden dan kwetsbaar zijn. Het ontdekte lek is niet van toepassing voor gebruikers met andere browsers.

LastPass is bezig met het uitsturen van een update die het lek dicht naar de Firefox-gebruikers. Het is ook mogelijk om de fix zelf te downloaden. In versie 4.1.21a is het lek gedicht. Gebruikers kunnen controleren welke versie ze draaien door in de Firefox-addon in het More Options-menu op About LastPass te klikken. Het lek zat enkel in versie 4.0, gebruikers van LastPass 3.0 hoeven geen actie te ondernemen.

Google-onderzoeker Tavis Ormandy maakte eerder op woensdag bekend dat hij een op afstand te gebruiken lek in de wachtwoordmanager ontdekt had. Volgens Ormandy ging het om een 'complete remote compromise', dat waarschijnlijk het op afstand uitlezen van wachtwoorden mogelijk maakte. Ormandy heeft LastPass direct ingelicht en inmiddels is het betreffende lek dat naar nu blijkt in de Firefox-addon zit, gedicht.

Woensdag verscheen er ook een ander verhaal van Detectify Labs in de media over een kwetsbaarheid in LastPass. Het gaat daarbij om een andere kwetsbaarheid, maar LastPass meldt nu dat dit zich meer dan een jaar geleden afspeelde en dat het lek destijds meteen is gedicht.

Door Julian Huijbregts

Nieuwsredacteur

Feedback • 27-07-2016 21:13
25 • submitter: Xaverius

27-07-2016 • 21:13

25

Submitter: Xaverius

Lees meer

LastPass dicht beveiligingslek in 2fa-app voor Android
LastPass dicht beveiligingslek in 2fa-app voor Android Nieuws van 30 december 2017
LastPass dicht lek waarmee tweetrapsauthenticatie uit te schakelen was
LastPass dicht lek waarmee tweetrapsauthenticatie uit te schakelen was Nieuws van 21 april 2017
LastPass raadt na nieuw lek aan sites direct vanuit de Vault te openen
LastPass raadt na nieuw lek aan sites direct vanuit de Vault te openen Nieuws van 27 maart 2017
Google-onderzoeker vindt nieuw lek in LastPass nadat eerder lek werd gepatcht
Google-onderzoeker vindt nieuw lek in LastPass nadat eerder lek werd gepatcht Nieuws van 22 maart 2017
Cisco patcht ernstig lek in extensie dat het uitvoeren van code mogelijk maakt
Cisco patcht ernstig lek in extensie dat het uitvoeren van code mogelijk maakt Nieuws van 24 januari 2017
LastPass maakt synchronisatie op verschillende apparaten gratis
LastPass maakt synchronisatie op verschillende apparaten gratis Nieuws van 2 november 2016
Symantec dicht kwetsbaarheid voor kwaadaardige rar-containers
Symantec dicht kwetsbaarheid voor kwaadaardige rar-containers Nieuws van 21 september 2016
Google-onderzoeker vindt op afstand te gebruiken lek in LastPass - update
Google-onderzoeker vindt op afstand te gebruiken lek in LastPass - update Nieuws van 27 juli 2016
Edge krijgt eerste versie van wachtwoordmanager LastPass
Edge krijgt eerste versie van wachtwoordmanager LastPass Nieuws van 27 mei 2016
LastPass komt met app voor tweetrapsauthenticatie
LastPass komt met app voor tweetrapsauthenticatie Nieuws van 16 maart 2016
Onderzoeker toont gerichte phishingaanval op LastPass
Onderzoeker toont gerichte phishingaanval op LastPass Nieuws van 18 januari 2016
Nieuwe functie LastPass laat dierbaren wachtwoorden overnemen bij noodgevallen
Nieuwe functie LastPass laat dierbaren wachtwoorden overnemen bij noodgevallen Nieuws van 5 januari 2016
Meer dan helft Nederlanders weet niet van bestaan wachtwoordmanagers
Meer dan helft Nederlanders weet niet van bestaan wachtwoordmanagers Nieuws van 23 november 2015
LogMeIn neemt LastPass over
LogMeIn neemt LastPass over Nieuws van 9 oktober 2015
LastPass: gebruik wachtwoordmanager is nu gratis op mobiel
LastPass: gebruik wachtwoordmanager is nu gratis op mobiel Nieuws van 11 augustus 2015
Hackers bemachtigen persoonsgegevens van servers LastPass
Hackers bemachtigen persoonsgegevens van servers LastPass Nieuws van 16 juni 2015
Meer producten en artikelen
Netwerk en systeembeheer Security Wachtwoord

Reacties (25)

-Moderatie-faq
25
25
20
0
0
3
Wijzig sortering
SubSpace 28 juli 2016 07:40
Let op: installeren van de Firefox addon op de lastpass.com site installeerde bij mij zojuist nog een oudere versie die wel kwetsbaar is. Ook het updaten van de addon via Firefox leverde voor mij een welliswaar iets nieuwere versie op, maar deze werd geadverteerd als 4.1.21 en niet 4.1.21a. Hieronder staat wel "Built: 2016-07-27 10:15:48" dus ik vermoed dat dit toch de versie met fix is.

[Reactie gewijzigd door SubSpace op 22 juli 2024 22:38]

VonFoX @SubSpace28 juli 2016 08:57
Klopt, 4.1.21a kan ik nergens downloaden.
Edit: inmiddels wel.

[Reactie gewijzigd door VonFoX op 22 juli 2024 22:38]

SubSpace @VonFoX28 juli 2016 09:59
Vreemd genoeg kreeg ik 10 minuten later wel de juiste versie via de website... Wellicht verouderde meuk ergens op een CDN.
xrf @SubSpace28 juli 2016 13:33
De versie die je op Addons.Mozilla.org kunt downloaden is standaard 3.x (niet kwetsbaar). Onderaan op de pagina kun je de bètaversie (4.x) downloaden; dat is de versie die een update heeft ontvangen.
Morrar @xrf2 augustus 2016 14:16
Je kunt beter bij de 3.x versie blijven. Deze is niet kwetsbaar en werkt tenminste.

In de 4.1.21a versie zit een aantal hele irritante bugs en instabiliteiten waardoor:
- Je password vault ineens leeg is
- Alle sites / logins matchen, waardoor je een enorme lijst moet doorzoeken bij inloggen
- Je CPU gebruik naar 100% schiet en Firefox seconden lang blijft hangen

Zou dus even wachten met upgraden; ben zelf inmiddels ook weer terug naar 3.x
desalniettemin 27 juli 2016 21:21
LastPass heb je toch niet nodig met Fx? Je kan toch een hoofdwachtwoord gebruiken?
Cartman! @desalniettemin27 juli 2016 22:08
Als je meerdere devices hebt waar je gebruikt wil maken van een wachtwoordmanager of misschien wil je dingen opslaan die helemaal niet bij een website horen dan is dat niet echt voldoende.
mikesmit @desalniettemin27 juli 2016 22:20
De populariteit van lastpass is juist zo groot omdat het overall werkt met alle browsers en alle devices. Niet omdat Firefox een feature heeft die alleen op hun browsers werkt
Anoniem: 614 27 juli 2016 23:55
Ben benieuwd of die ook in de LastPass Edge extensie zit.
Nog 6 dagen wachten voor een officiële uitspraak
(zodra de functie voor iedereen komt met de W10 Anniversary Update).
Yoshi @Anoniem: 61428 juli 2016 07:51
daar waren ze anders al vrij duidelijk in, neen dus.
The recent report only affects Firefox users.

[Reactie gewijzigd door Yoshi op 22 juli 2024 22:38]

japborst @Anoniem: 61428 juli 2016 07:54
Mocht die erin gezeten hebben, ga ik er vanuit dat deze gefikst is. De extensie wordt op dit moment bijna dagelijks geüpdatet op mijn machine met een Insider preview.

Edge extensies zijn vooral gebaseerd op Chrome extensies en aangezien het hier alleen om Firefox gaat, zou mijn inschatting zijn dat die niet het lek heeft. Maar dat is speculeren
Yzord 27 juli 2016 22:09
Versie 4.1.21
Compilatie: 2016-07-27 10:15:48
Binary Component: waar (ctypes versie 4.1.7, Versie May 2 2016 13:13:58)
Ik heb hem gedownload, maar ik heb deze ipv de a versie.
In versie 4.1.21a is het lek gedicht

[Reactie gewijzigd door Yzord op 22 juli 2024 22:38]

frice @Yzord28 juli 2016 06:57
Als je bij Firefix add-ons bij LastPass 'more' aanklikt dan staat er wel 4.1.21a. De more options -> about LastPass werkt blijkbaar alleen met cijfers in de versie-text.
Anoniem: 569741 27 juli 2016 20:43
Snel opgepakt door LastPass, hoop dat het ook echt is verholpen.
iDennis3D 27 juli 2016 20:46
Goede en snelle actie, complimenten!
fverhoef 28 juli 2016 09:05
Ik vind het wel zo netjes hoe LastPass dit zo snel oplost. Natuurlijk zet Google ze wel onder druk, door het bekend te maken dat er een security lek was. Hadden ze dit niet adequate opgelost, dan zouden ze een slechte naam krijgen en natuurlijk veel gebruikers verliezen.

Ik gebruik zelf LastPass, maar zonder de browser plugins. Ik vond de plugins af en toe wat irritant, dus nu haal ik de passwords direct zelf uit de LastPass website.

Daarnaast gebruik ik Google Authenticator (technish gezien FreeOTP op android) voor extra veiligheid.
kuurtjes 28 juli 2016 10:27
Wat ik hier toch soms mis is wat meer informatie over de exploit zelf.
Tjolk @kuurtjes28 juli 2016 16:52
Wat valt er te missen? De informatie staat in een link in dit artikel naar een nieuwsbericht van eerder op de dag. En dan nog met een samenvatting ook.
[...]
Google-onderzoeker Tavis Ormandy maakte eerder op woensdag bekend dat hij een op afstand te gebruiken lek in de wachtwoordmanager ontdekt had. Volgens Ormandy ging het om een 'complete remote compromise', dat waarschijnlijk het op afstand uitlezen van wachtwoorden mogelijk maakte
Als je niet kunt/wil lezen, ja dan mis je wel wat...
kuurtjes @Tjolk28 juli 2016 20:13
Zoals ik al zei mis ik de informatie over de exploit zelf. Hoe deze werkt.

Het artikel dat eerder gepost was heeft nu mits een update wel wat informatie over een exploit, maar deze is van een andere onderzoeker, en zou niet dezelfde zijn als degene die Tavis O. gevonden had.
Franckey 27 juli 2016 20:58
Een 'lokale' password file, van een password manager, op OneDrive is veiliger dan zo'n online password manager. Je passwords liggen dan pas op straat als zowel OneDrive en de password manager gelijktijdig lek zijn. Die kans is al een stuk kleiner.
Kodess @Franckey27 juli 2016 21:02
Beide Lastpass lekken komen door browser integraties die de username en wachtwoord autofillen op de pagina.

Dat kan ook bij een lokale password app gebeuren (Safeincloud, enpass, etc).
1 foutje in het herkennen van de website waar je op zit en de autofill vult zo je credentials in op de kwaadwillende zijn website.
glatuin @Franckey27 juli 2016 21:02
Lastpass werkt net zo; lokale encrypted password file die behalve lokaal ook in de cloud bij Lastpass is opgeslagen. Ja er zijn lekken maar LastPass weet dit steeds snel te adresseren. Mijn vertrouwen in LastPass is nog steeds op zelfde niveau en gebruik het graag. Veel meer gebruikersgemak dan zo'n lokale file op OneDrive en ook nog eens 2FA.
KopjeThee @Franckey27 juli 2016 21:15
Voor zover ik begrijp is deze opmerking niet relevant voor deze specifieke bug. Het was geen server kwetsbaarheid.

Verder zit er wel een kern van waarheid in. Maar lastpass reageert wel ontzettend snel op kwetsbaarheden. En ze hebben ook al eens een uitgebreide audit gehad en resultaten verwerkt. Dat pleit wel voor ze. Dus ik zou er wel vertrouwen in hebben. Uiteraard wel met sterk master wachtwoord en 2fa.
telenut 27 juli 2016 22:56
kan ik hier uit besluiten dat het lek enkel in de firefox plugin zat?

edit: staat een drietal keer in het artikel zelf..was duidelijk niet goed wakker...

[Reactie gewijzigd door telenut op 22 juli 2024 22:38]

Arjan90 @telenut27 juli 2016 23:17
Zo staat het wel in het artikel... "Gebruikers van LastPass 4.0 in combinatie met Firefox zouden dan kwetsbaar zijn. Het ontdekte lek is niet van toepassing voor gebruikers met andere browsers."

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq