פרצת אבטחה גורמת ל-KeePass לחשוף את סיסמת המאסטר

לפי Bleeping Computer , פגיעות חדשה שהתגלתה באפליקציית KeePass עלולה לאפשר לתוקפים לאחזר סיסמאות אב בטקסט רגיל גם אם מסד הנתונים נעול או שהתוכנית סגורה. תיקון לפגיעות קריטית זו יהיה זמין לכל המוקדם עד תחילת יוני.

חוקר אבטחה דיווח על הפגיעות ופרסם ניצול להוכחת היתכנות המאפשר לתוקף לבצע גירוד זיכרון כדי להשיג את סיסמת המאסטר בטקסט רגיל, גם אם מסד הנתונים של KeePass סגור, התוכנית נעולה, או אפילו לא פתוחה. כאשר מאחזרים מהזיכרון, התו או שניים הראשונים של הסיסמה יחסרים, אך לאחר מכן ניתן לנחש את המחרוזת כולה.

הניצול נכתב עבור Windows, אך גם לינוקס ו-macOS נחשבים פגיעים מכיוון שהבעיה קיימת בתוך KeePass ולא במערכת ההפעלה. כדי לנצל את הסיסמה, תוקף יזדקק לגישה למחשב מרוחק (שהושג באמצעות תוכנה זדונית) או ישירות למחשב של הקורבן.

על פי מומחי אבטחה, כל גרסאות KeePass 2.x מושפעות. אך KeePass 1.x, KeePassXC ו-Strongbox - מנהלי סיסמאות אחרים התואמים לקבצי מסד נתונים של KeePass - אינם מושפעים.

התיקון ייכלל בגירסת 2.54 של KeePass, שעשויה לצאת בתחילת יוני.

כעת קיימת גרסת בטא לא יציבה של KeePass עם פתרונות מקלים, אך דו"ח של Bleeping Computer קובע כי חוקר האבטחה לא הצליח לשחזר את גניבת הסיסמה מהפגיעות.

עם זאת, גם לאחר שדרוג KeePass לגרסה קבועה, עדיין ניתן לצפות בסיסמאות בקבצי הזיכרון של התוכנה. להגנה מלאה, המשתמשים יצטרכו למחוק לחלוטין את המחשב על ידי החלפת נתונים קיימים, ולאחר מכן להתקין מחדש מערכת הפעלה חדשה.

מומחים ממליצים שתוכנית אנטי-וירוס טובה תמזער את האפשרות, ועל המשתמשים לשנות את סיסמת המאסטר של KeePass שלהם לאחר שהגרסה הרשמית תהיה זמינה.