सुरक्षा दोष के कारण KeePass का मास्टर पासवर्ड उजागर हो जाता है

ब्लीपिंग कंप्यूटर के अनुसार, कीपास एप्लिकेशन में एक नई खोजी गई मेमोरी डंप भेद्यता, हमलावरों को मास्टर पासवर्ड सादे टेक्स्ट में प्राप्त करने की अनुमति दे सकती है, भले ही डेटाबेस लॉक हो या प्रोग्राम बंद हो। इस गंभीर भेद्यता के लिए पैच जून की शुरुआत से पहले उपलब्ध नहीं होगा।

एक सुरक्षा शोधकर्ता ने इस भेद्यता की रिपोर्ट की और एक प्रूफ़-ऑफ़-कॉन्सेप्ट एक्सप्लॉइट प्रकाशित किया, जो एक हमलावर को मेमोरी स्क्रैपिंग करके मास्टर पासवर्ड को प्लेन टेक्स्ट में प्राप्त करने की अनुमति देता है, भले ही KeePass डेटाबेस बंद हो, प्रोग्राम लॉक हो, या खुला भी न हो। मेमोरी से पुनर्प्राप्त करने पर, पासवर्ड के पहले एक या दो अक्षर गायब होंगे, लेकिन फिर पूरी स्ट्रिंग का अनुमान लगाया जा सकता है।

यह एक्सप्लॉइट विंडोज़ के लिए लिखा गया था, लेकिन लिनक्स और मैकओएस भी असुरक्षित माने जाते हैं क्योंकि यह समस्या ऑपरेटिंग सिस्टम में नहीं, बल्कि कीपास में मौजूद है। पासवर्ड का फायदा उठाने के लिए, हमलावर को किसी दूरस्थ कंप्यूटर (मैलवेयर के ज़रिए प्राप्त) या सीधे पीड़ित की मशीन तक पहुँच की आवश्यकता होगी।

सुरक्षा विशेषज्ञों के अनुसार, सभी KeePass 2.x संस्करण प्रभावित हैं। लेकिन KeePass 1.x, KeePassXC, और Strongbox - KeePass डेटाबेस फ़ाइलों के साथ संगत अन्य पासवर्ड प्रबंधक - प्रभावित नहीं हैं।

यह सुधार KeePass संस्करण 2.54 में शामिल किया जाएगा, जिसे जून के आरंभ में जारी किया जा सकता है।

अब KeePass का एक अस्थिर बीटा संस्करण उपलब्ध है, जिसमें कुछ सुधार भी किए गए हैं, लेकिन ब्लीपिंग कंप्यूटर की एक रिपोर्ट में कहा गया है कि सुरक्षा शोधकर्ता इस भेद्यता से पासवर्ड चोरी की पुनरावृत्ति करने में असमर्थ रहे हैं।

हालाँकि, KeePass के फिक्स्ड वर्जन में अपग्रेड होने के बाद भी, पासवर्ड प्रोग्राम की मेमोरी फ़ाइलों में देखे जा सकते हैं। पूरी सुरक्षा के लिए, उपयोगकर्ताओं को मौजूदा डेटा को ओवरराइट करके कंप्यूटर को पूरी तरह से मिटाना होगा, फिर एक नया ऑपरेटिंग सिस्टम फिर से इंस्टॉल करना होगा।

विशेषज्ञों की सलाह है कि एक अच्छा एंटीवायरस प्रोग्राम इस संभावना को कम कर देगा, और उपयोगकर्ताओं को आधिकारिक संस्करण उपलब्ध होने पर अपना KeePass मास्टर पासवर्ड बदल देना चाहिए।