Er is een patch uitgekomen voor een kwetsbaarheid in de populaire wachtwoordmanager LastPass, nadat dit was gemeld door Google-beveiligingsonderzoeker Tavis Ormandy. Kort na de aankondiging van de patch vond Ormandy opnieuw een lek.
Bij het nieuwe lek gaat het om een kwetsbaarheid in versie 4.1.35 van de wachtwoordmanagersoftware voor Firefox, die het mogelijk maakt om wachtwoorden te stelen vanaf een willekeurig domein. LogMeIn-dochter LastPass zegt aan een oplossing te werken. De lekken die Googles Project Zero-medewerker Ormandy vindt, worden doorgaans snel door LastPass gepatcht. Dinsdag meldde Ormandy al eerder een lek aan de dienst, waarvoor inmiddels een patch is uitgebracht.
Uit de analyse van Ormandy blijkt dat het eerder gemelde lek aanwezig was in versie 4.1.42 van de Chrome- en Firefox-extensies van LastPass. Daarmee was het voor een aanvaller mogelijk om wachtwoorden te stelen. Indien er gebruik wordt gemaakt van de binary component was het bovendien mogelijk om willekeurige code uit te voeren op het systeem van het slachtoffer.
Eerder deze maand meldde de onderzoeker nog een derde lek aan de dienst, dat aanwezig was in de Firefox-extensie. Een woordvoerder van LastPass laat aan The Register weten dat de patch voor deze kwetsbaarheid nog door Mozilla goedgekeurd moet worden. De deze maand gemelde lekken zijn niet de eerste kwetsbaarheden die Ormandy vindt in LastPass. Dit deed hij eerder in juli 2016. LastPass is een wachtwoordmanager die wachtwoorden op zijn eigen servers opslaat. Andere varianten, zoals KeePass, slaan deze in een lokale database op.