Bleeping Computerによると、KeePass アプリケーションで新たに発見されたメモリ ダンプ脆弱性により、データベースがロックされていたりプログラムが終了している場合でも、攻撃者がプレーン テキストでマスター パスワードを取得できる可能性があるとのことです。この重要なパッチは早くても 6 月上旬まで利用できなくなります。

この脆弱性はセキュリティ研究者によって報告され、その研究者はそれを悪用することに成功した概念実証を公開しました。攻撃者は、KeePass データベースが閉じられている場合、プログラムがロックされている場合、または開いていない場合でも、メモリ スクレイピングを実行してマスター パスワードをプレーンテキストで収集できます。メモリから取得する場合、パスワードの最初の 1 文字または 2 文字が欠落しますが、文字列全体を推測できます。

このエクスプロイトは Windows プラットフォーム向けに書かれていますが、問題はオペレーティング システムではなく KeePass 内に存在するため、Linux や macOS も脆弱であると言われています。パスワードマイニングを実行するには、攻撃者はリモートコンピュータ（マルウェアを通じて取得）にアクセスするか、被害者のマシンに直接アクセスする必要があります。

セキュリティ専門家によると、KeePass 2.x のすべてのバージョンが影響を受けるとのことです。ただし、KeePass 1.x、KeePassXC、および Strongbox (KeePass データベース ファイルと互換性のあるその他のパスワード マネージャー) は影響を受けません。

この修正は、6月上旬にリリースされる可能性のあるKeePassバージョン2.54に含まれる予定です。

現在、緩和策が講じられた KeePass の不安定なテストバージョンが存在しますが、 Bleeping Computerの報告によると、セキュリティ研究者は脆弱性を利用したパスワード盗難を再現することができなかったとのことです。

ただし、KeePass を修正バージョンにアップグレードした後でも、プログラムのメモリ ファイルでパスワードを表示できます。完全な保護のためには、ユーザーは既存のデータを上書きしてコンピューターを完全に消去し、新しいオペレーティング システムを再インストールする必要があります。

専門家は、優れたウイルス対策プログラムを使用すればその可能性は最小限に抑えられるとアドバイスしており、ユーザーは公式バージョンが利用可能になったら KeePass のマスター パスワードを変更するべきだと述べています。