Bleeping Computerによると、KeePassアプリケーションに新たに発見されたメモリダンプ脆弱性により、データベースがロックされているかプログラムが終了している場合でも、攻撃者がマスターパスワードを平文で取得できる可能性があるとのことです。この重大な脆弱性に対するパッチは、早くても6月上旬まで提供されません。
セキュリティ研究者がこの脆弱性を報告し、概念実証エクスプロイトを公開しました。このエクスプロイトにより、攻撃者はKeePassデータベースが閉じられている場合、プログラムがロックされている場合、あるいは起動されていない場合でも、マスターパスワードを平文で抽出することが可能になりました。メモリからパスワードを取得すると、最初の1~2文字が欠落しますが、文字列全体を推測することが可能になります。
このエクスプロイトはWindows向けに作成されましたが、LinuxとmacOSも脆弱性を抱えていると考えられています。これは、問題がオペレーティングシステムではなくKeePass自体に存在するためです。パスワードを悪用するには、攻撃者は(マルウェアを介して)リモートコンピュータにアクセスするか、被害者のマシンに直接アクセスする必要があります。
セキュリティ専門家によると、KeePass 2.xの全バージョンが影響を受けます。ただし、KeePass 1.x、KeePassXC、Strongbox(KeePassデータベースファイルと互換性のある他のパスワードマネージャー)は影響を受けません。
この修正は、6月上旬にリリースされる可能性のあるKeePassバージョン2.54に含まれる予定です。
新たなセキュリティ欠陥によりKeePassが危険にさらされているが、パッチはまだ提供されていない
現在、緩和策が講じられた KeePass の不安定なテストバージョンが存在しますが、 Bleeping Computerの報告によると、セキュリティ研究者は脆弱性を利用したパスワード盗難を再現することができなかったとのことです。
ただし、KeePassを修正版にアップグレードした後でも、プログラムのメモリファイルからパスワードを閲覧することは可能です。完全な保護を実現するには、既存のデータを上書きしてコンピューターを完全に消去し、新しいオペレーティングシステムを再インストールする必要があります。
専門家は、優れたウイルス対策プログラムを使用すればその可能性は最小限に抑えられるとアドバイスしており、ユーザーは公式バージョンが利用可能になったら KeePass のマスター パスワードを変更するべきだと述べています。
[広告2]
ソースリンク
コメント (0)