Laut Bleeping Computer könnte eine neu entdeckte Speicherabbild-Schwachstelle in der KeePass-Anwendung Angreifern ermöglichen, Master-Passwörter im Klartext abzurufen, selbst wenn die Datenbank gesperrt oder das Programm geschlossen ist. Ein Patch für diese kritische Schwachstelle wird frühestens Anfang Juni verfügbar sein.
Ein Sicherheitsforscher meldete die Sicherheitslücke und veröffentlichte einen Proof-of-Concept-Exploit, der es einem Angreifer ermöglichte, das Master-Passwort im Klartext abzurufen, selbst wenn die KeePass-Datenbank geschlossen, das Programm gesperrt oder gar nicht geöffnet war. Beim Abrufen aus dem Speicher fehlten zwar die ersten ein oder zwei Zeichen des Passworts, die gesamte Zeichenfolge ließ sich jedoch erraten.
Der Exploit wurde für Windows entwickelt, aber auch Linux und macOS gelten als anfällig, da das Problem innerhalb von KeePass und nicht im Betriebssystem selbst liegt. Um das Passwort auszunutzen, benötigt ein Angreifer Zugriff auf einen Remote-Computer (über Malware erlangt) oder direkt auf den Rechner des Opfers.
Betroffen seien laut dem Sicherheitsexperten alle Versionen von KeePass 2.x. Nicht betroffen seien hingegen KeePass 1.x, KeePassXC und Strongbox – andere Passwortmanager, die mit den KeePass-Datenbankdateien kompatibel seien.
Der Fix wird in KeePass Version 2.54 enthalten sein, die Anfang Juni veröffentlicht werden könnte.
Neue Sicherheitslücke gefährdet KeePass, da noch kein Patch verfügbar ist
Es gibt jetzt eine instabile Testversion von KeePass mit entsprechenden Abwehrmaßnahmen, aber ein Bericht von Bleeping Computer besagt, dass es dem Sicherheitsforscher nicht gelungen ist, den Passwortdiebstahl aufgrund der Sicherheitslücke zu reproduzieren.
Auch nach einem Update von KeePass auf eine verbesserte Version können Passwörter weiterhin in den Speicherdateien des Programms eingesehen werden. Für einen vollständigen Schutz müssen Benutzer den Computer vollständig löschen, indem sie vorhandene Daten überschreiben, und anschließend ein neues Betriebssystem installieren.
Experten raten, dass ein gutes Antivirenprogramm diese Möglichkeit minimiert und dass Benutzer ihr KeePass-Masterkennwort ändern sollten, sobald die offizielle Version verfügbar ist.
[Anzeige_2]
Quellenlink
Kommentar (0)