Ifølge Bleeping Computer kan en nylig oppdaget minnedump-sårbarhet i KeePass-applikasjonen tillate angripere å hente masterpassord i ren tekst selv om databasen er låst eller programmet er lukket. En oppdatering for denne kritiske sårbarheten vil ikke være tilgjengelig før tidligst i juni.
En sikkerhetsforsker rapporterte sårbarheten og publiserte et konseptutnyttelsesprogram som lar en angriper utføre en minneskraping for å få tak i hovedpassordet i klartekst, selv om KeePass-databasen er lukket, programmet er låst eller ikke engang åpent. Når passordet hentes fra minnet, vil det første eller de to første tegnene i passordet mangle, men hele strengen kan da gjettes.
Utnyttelsen ble skrevet for Windows, men Linux og macOS antas også å være sårbare fordi problemet ligger i KeePass og ikke i operativsystemet. For å utnytte passordet, trenger en angriper tilgang til en ekstern datamaskin (skaffet via skadelig programvare) eller direkte på offerets maskin.
Ifølge sikkerhetseksperter er alle KeePass 2.x-versjoner berørt. Men KeePass 1.x, KeePassXC og Strongbox – andre passordbehandlere som er kompatible med KeePass-databasefiler – er ikke berørt.
Rettelsen vil bli inkludert i KeePass versjon 2.54, som kan bli utgitt tidlig i juni.
Ny sikkerhetsfeil setter KeePass i fare ettersom ingen oppdatering er tilgjengelig ennå
Det finnes nå en ustabil betaversjon av KeePass med tiltak på plass, men en rapport fra Bleeping Computer sier at sikkerhetsforskeren ikke har klart å reprodusere passordtyveriet fra sårbarheten.
Selv etter at KeePass er oppgradert til en fast versjon, kan passord fortsatt vises i programmets minnefiler. For fullstendig beskyttelse må brukerne slette datamaskinen fullstendig ved å overskrive eksisterende data, og deretter installere et nytt operativsystem på nytt.
Eksperter anbefaler at et godt antivirusprogram vil minimere muligheten, og brukere bør endre KeePass-hovedpassordet sitt når den offisielle versjonen er tilgjengelig.
[annonse_2]
Kildekobling
Kommentar (0)