KeePass выпускает исправление для ошибки безопасности с утечкой пароля
KeePass выпускает исправление для ошибки безопасности с утечкой пароля. Фото: СС0
Пользователям KeePass версии 2.x рекомендуется обновить свои инстансы до версии 2.54, чтобы устранить угрозу. Те, кто использует KeePass 1.x, Strongbox или KeePass XC, не подвержены этой уязвимости, и поэтому им не нужно переходить на новую версию.
Пользователи, которые не могут применить исправление, должны сбросить свой мастер-пароль, удалить аварийные дампы и файлы гибернации, а также заменить файлы, которые могут содержать фрагменты их мастер-пароля. В более крайних случаях они могут переустановить свою операционную систему.
В середине мая было объявлено, что сервис уязвим к CVE-2023-32784 — уязвимости, позволяющей злоумышленникам частично извлечь мастер-пароль KeePass из дампа памяти приложения. Мастер-пароль придет в открытом виде. Уязвимость была обнаружена исследователем угроз под псевдонимом «vdohney», который также опубликовал доказательство концепции уязвимости.
Как пояснил исследователь, проблема была обнаружена в SecureTextBoxEx.
Из сообщения исследователя безопасности:
«Из-за того, как он обрабатывает ввод, когда пользователь вводит пароль, будут появляться оставшиеся символы. Например, когда набирается «Пароль», это приведет к следующим оставшимся символам: •a, ••s, •••s, ••••w, •••••o, •••••• г, ••••••••д».
Следовательно, злоумышленник сможет восстановить практически все символы мастер-пароля, даже если рабочее пространство заблокировано или программа была недавно закрыта.
Теоретически злоумышленник может развернуть программу-похититель информации или аналогичный вариант вредоносного ПО, чтобы выгрузить память программы и отправить ее вместе с базой данных менеджера паролей обратно на сервер, находящийся под контролем злоумышленника.
Оттуда они смогут извлечь мастер-пароль. В менеджерах паролей мастер-пароль используется для расшифровки и доступа к базе данных, содержащей все остальные пароли.
Startpack подготовил список облачных сервисов для хранения паролей. Платные и бесплатные платформы для работы с паролями, необходимыми для доступа к прикладным программам или веб-сервисам. Обязательное шифрование данных защищает критически важную информацию от хищения или повреждения злоумышленниками. Автоматическая сортировка и заполнение полей с паролём облегчает доступ к сервисам. Возможность создания резервных копий базы паролей для сохранения на случай сбоя или ошибки.
Статьи по теме
Комментариев пока не было