ব্লিপিং কম্পিউটারের মতে, কিপাস অ্যাপ্লিকেশনে একটি নতুন আবিষ্কৃত মেমোরি ডাম্প দুর্বলতা আক্রমণকারীদের ডাটাবেস লক থাকা বা প্রোগ্রাম বন্ধ থাকা সত্ত্বেও প্লেইন টেক্সটে মাস্টার পাসওয়ার্ড পুনরুদ্ধার করার সুযোগ দিতে পারে। এই গুরুত্বপূর্ণ দুর্বলতার জন্য একটি প্যাচ জুনের প্রথম দিকে পাওয়া যাবে না।
একজন নিরাপত্তা গবেষক দুর্বলতার কথা জানিয়েছেন এবং একটি প্রুফ-অফ-কনসেপ্ট এক্সপ্লাইট প্রকাশ করেছেন যা একজন আক্রমণকারীকে মেমোরি স্ক্র্যাপ করে প্লেইন টেক্সটে মাস্টার পাসওয়ার্ড পেতে সাহায্য করে, এমনকি যদি KeePass ডাটাবেস বন্ধ থাকে, প্রোগ্রামটি লক থাকে, অথবা এমনকি খোলা না থাকে। মেমোরি থেকে পুনরুদ্ধার করা হলে, পাসওয়ার্ডের প্রথম এক বা দুটি অক্ষর অনুপস্থিত থাকবে, তবে পুরো স্ট্রিংটি তখন অনুমান করা যাবে।
এই এক্সপ্লয়েটটি উইন্ডোজের জন্য লেখা হয়েছিল, তবে লিনাক্স এবং ম্যাকওএসও ঝুঁকিপূর্ণ বলে মনে করা হচ্ছে কারণ সমস্যাটি কিপাসের মধ্যেই বিদ্যমান, অপারেটিং সিস্টেমের মধ্যেই নয়। পাসওয়ার্ডটি কাজে লাগানোর জন্য, একজন আক্রমণকারীর একটি দূরবর্তী কম্পিউটারে (ম্যালওয়্যারের মাধ্যমে প্রাপ্ত) অথবা সরাসরি ভুক্তভোগীর মেশিনে অ্যাক্সেসের প্রয়োজন হবে।
নিরাপত্তা বিশেষজ্ঞদের মতে, KeePass 2.x এর সকল সংস্করণ প্রভাবিত হয়েছে। কিন্তু KeePass 1.x, KeePassXC, এবং Strongbox - KeePass ডাটাবেস ফাইলের সাথে সামঞ্জস্যপূর্ণ অন্যান্য পাসওয়ার্ড ম্যানেজার - প্রভাবিত হয় না।
এই সমাধানটি KeePass সংস্করণ 2.54-এ অন্তর্ভুক্ত করা হবে, যা জুনের শুরুতে প্রকাশিত হতে পারে।
নতুন নিরাপত্তা ত্রুটি KeePass কে ঝুঁকির মুখে ফেলেছে কারণ এখনও কোনও প্যাচ উপলব্ধ নেই
এখন KeePass-এর একটি অস্থির বিটা সংস্করণ রয়েছে যার কিছু প্রশমন ব্যবস্থা রয়েছে, কিন্তু Bleeping Computer- এর একটি প্রতিবেদনে বলা হয়েছে যে নিরাপত্তা গবেষক দুর্বলতা থেকে পাসওয়ার্ড চুরির ঘটনা পুনরুত্পাদন করতে অক্ষম।
তবে, KeePass একটি নির্দিষ্ট সংস্করণে আপগ্রেড করার পরেও, প্রোগ্রামের মেমরি ফাইলগুলিতে পাসওয়ার্ডগুলি এখনও দেখা যাবে। সম্পূর্ণ সুরক্ষার জন্য, ব্যবহারকারীদের বিদ্যমান ডেটা ওভাররাইট করে কম্পিউটারটি সম্পূর্ণরূপে মুছে ফেলতে হবে, তারপরে একটি নতুন অপারেটিং সিস্টেম পুনরায় ইনস্টল করতে হবে।
বিশেষজ্ঞরা পরামর্শ দেন যে একটি ভালো অ্যান্টিভাইরাস প্রোগ্রাম এই সম্ভাবনা কমিয়ে দেবে, এবং ব্যবহারকারীদের অফিসিয়াল সংস্করণটি উপলব্ধ হওয়ার পরে তাদের KeePass মাস্টার পাসওয়ার্ড পরিবর্তন করা উচিত।
[বিজ্ঞাপন_২]
উৎস লিঙ্ক
মন্তব্য (0)