Laut Bleeping Computer ermöglicht eine neu entdeckte Sicherheitslücke in der KeePass-Anwendung Angreifern, Masterpasswörter im Klartext auszulesen, selbst wenn die Datenbank gesperrt oder das Programm geschlossen ist. Ein Patch für diese kritische Sicherheitslücke wird frühestens Anfang Juni verfügbar sein.
Ein Sicherheitsforscher meldete die Schwachstelle und veröffentlichte einen Proof-of-Concept-Exploit, der es Angreifern ermöglicht, den Speicher auszulesen und das Masterpasswort im Klartext zu erhalten, selbst wenn die KeePass-Datenbank geschlossen, das Programm gesperrt oder gar nicht geöffnet ist. Beim Auslesen aus dem Speicher fehlen zwar die ersten ein oder zwei Zeichen des Passworts, die gesamte Zeichenkette kann aber anschließend erraten werden.
Der Exploit wurde für Windows entwickelt, doch Linux und macOS gelten ebenfalls als anfällig, da die Schwachstelle in KeePass und nicht im Betriebssystem selbst liegt. Um das Passwort auszunutzen, benötigt ein Angreifer Zugriff auf einen entfernten Computer (erlangt durch Schadsoftware) oder direkt auf den Rechner des Opfers.
Laut Sicherheitsexperten sind alle KeePass-Versionen der Version 2.x betroffen. KeePass 1.x, KeePassXC und Strongbox – andere Passwortmanager, die mit KeePass-Datenbankdateien kompatibel sind – sind hingegen nicht betroffen.
Die Fehlerbehebung wird in KeePass Version 2.54 enthalten sein, die voraussichtlich Anfang Juni veröffentlicht wird.
Eine neue Sicherheitslücke gefährdet KeePass, da noch kein Patch verfügbar ist.
Es gibt jetzt eine instabile Beta-Version von KeePass mit implementierten Schutzmaßnahmen, aber laut einem Bericht von Bleeping Computer konnte der Sicherheitsforscher den Passwortdiebstahl durch die Sicherheitslücke nicht reproduzieren.
Selbst nach einem Update von KeePass auf eine korrigierte Version können Passwörter weiterhin in den Programmdateien eingesehen werden. Für einen vollständigen Schutz müssen Benutzer den Computer komplett löschen, indem sie die vorhandenen Daten überschreiben und anschließend ein neues Betriebssystem installieren.
Experten raten dazu, dass ein gutes Antivirenprogramm das Risiko minimiert, und empfehlen den Benutzern, ihr KeePass-Masterpasswort zu ändern, sobald die offizielle Version verfügbar ist.
Quellenlink
Kommentar (0)