Разработчик менеджера паролей KeePass Доминик Райхл (Dominik Reichl) объявил, что исправил уязвимость, которая позволяла потенциальному злоумышленнику получить мастер-пароль в открытом виде из памяти программы. Эта уязвимость была обнаружена и опубликована исследователем под псевдонимом Vdohney на GitHub 17 мая 2023 года.
Уязвимость, получившая обозначение CVE-2023-32784 в базе уязвимостей, заключалась в том, что при вводе мастер-пароля в текстовое поле программы в памяти оставались фрагменты пароля, которые могли быть извлечены из дампа памяти программы, файла гибернации, файла подкачки или дампа оперативной памяти всей системы. При этом не имело значения, заблокирована ли рабочая область программы или даже запущена ли программа вообще. Единственное ограничение заключалось в том, что первый символ пароля не мог быть восстановлен.
Vdohney также опубликовал доказательство концепции (POC) эксплойта, который искал в дампе памяти шаблоны из фрагментов пароля и предлагал вероятный символ пароля для каждой позиции. Таким образом, злоумышленник мог получить доступ ко всем паролям, хранящимся в базе данных KeePass.
Райхл поблагодарил Vdohney за сообщение об уязвимости и сообщил, что она будет исправлена в версии KeePass 2.54, которая ожидается к выпуску в июле 2023 года. Он также предоставил тестовую версию обновления для проверки Vdohney, который подтвердил, что уязвимость больше не проявляется.
KeePass — это популярный бесплатный менеджер паролей с открытым исходным кодом, который помогает пользователям управлять своими паролями и хранит их в зашифрованном виде. Вся база данных паролей защищена одним мастер-паролем, который не должен быть известен никому, кроме пользователя. Поэтому утечка мастер-пароля считается самым худшим сценарием для менеджера паролей.
Эта уязвимость имеет особое значение для держателей криптовалютных активов, которые используют KeePass для хранения своих логинов и паролей от криптовалютных бирж, кошельков и других сервисов. Если злоумышленник получит доступ к мастер-паролю KeePass, он сможет похитить криптовалютные средства пользователя. Поэтому таким пользователям рекомендуется обновить свой KeePass до последней версии как только она станет доступна.
▼
Самые интересные и важные новости на нашем канале в Telegram