Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

LastPass dicht lek in IE-client dat toegang gaf tot wachtwoorden

Wachtwoordmanager LastPass heeft afgelopen weekeinde een nieuwe versie van zijn software vrijgegeven. Versie 2.5.0 dicht onder meer een lek dat in theorie toegang zou kunnen geven tot de wachtwoorden van Internet Explorer-gebruikers.

Het lek in de online-wachtwoordmanager, dat overigens alleen IE-gebruikers met LastPass-versie 2.0.20 treft, bleek de wachtwoorden in plain text vrij te geven als er een geheugendump werd gemaakt. Volgens LastPass was het lek in de software niet eenvoudig te misbruiken.

Afgezien van het feit dat iemand IE moest gebruiken, moest de gebruiker ook zijn ingelogd met LastPass. Bovendien konden alleen de wachtwoorden worden achterhaald die tijdens de bewuste browsersessie daadwerkelijk waren gebruikt om ergens in te loggen. De aanvaller zou er tot slot nog in moeten slagen een geheugendump te maken, wat doorgaans alleen lukt als er fysieke toegang tot een pc is of een aanvaller al manieren heeft gevonden om malware op de computer te installeren.

Hoewel een geheugendump dus niet zomaar kan worden gemaakt door aanvallers, is het de afgelopen jaren wel een beproefde methode gebleken, die onder meer wordt toegepast door banking malware om creditcardgegevens van geïnfecteerde systemen te ontfutselen. Regelgeving vereist veelal dat financiële dienstverleners creditcardgegevens en andere financiële informatie versleutelen als het op de harde schijf wordt bewaard, waardoor aanvallers het via het geheugen proberen.

LastPass heeft voor IE-gebruikers met een Windows-machine versie 2.5.0 klaargezet. Voor andere browsers en besturingssystemen zijn ook versies 2.5.1, 2.5.2 en 2.5.3 beschikbaar gekomen. Naast het bovengenoemde lek, voorziet de nieuwe versie onder meer in verbeterde manier waarin de software omgaat met logmein.com-url's en wordt de mogelijkheid om veranderingen direct te synchroniseren met andere devices nu voor alle users gefaseerd uitgerold.

Door Wilbert de Vries

19-08-2013 • 08:02

34 Linkedin Google+

Reacties (34)

Wijzig sortering

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Microsoft Xbox Series X LG OLED C9 Google Pixel 4 CES 2020 Samsung Galaxy S20 Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True