Сегодня 13 ноября 2024
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

В менеджере паролей KeePass обнаружена уязвимость, позволяющая извлечь мастер-пароль

В популярном менеджере паролей KeePass обнаружена уязвимость, эксплуатация которой позволяет извлечь мастер-пароль из памяти приложения. За счёт этого злоумышленники, которым удалось скомпрометировать устройство жертвы, могут похить все хранящиеся в менеджере пароли, даже если база данных заблокирована.

 Источник изображения: hothardware.com

Источник изображения: hothardware.com

Упомянутая уязвимость отслеживается под идентификатором CVE-2023-3278. Её обнаружил исследователь в сфере информационной безопасности, известный под ником vdohney. Он опубликовал на GitHub краткое описание проблемы и PoC-эксплойт, предполагающий использование уязвимости KeePass. Проблема затрагивает KeePass 2.53 и более ранние версии приложения.

Дело в том, что в KeePass для ввода пароля используется поле SecureTextBoxEx, которое сохраняет вводимые пользователем символы в память в открытом виде. Это означает, что злоумышленнику достаточно завладеть дампом памяти, причём это может быть дамп процесса, файла подкачки pagefile.sys, файла гибернации hiberfil.sys, различных аварийных дампов или дампа памяти всей системы. Также не имеет значения, заблокировано или нет рабочее пространство и запущен ли KeePass.

Эксплойт тестировался в Windows, но, вероятно, его скорректированная версия будет работать и в macOS, так как уязвимость связана с тем, как приложение обрабатывает данные при вводе пароля, а не с самой операционной системой. Ожидается, что уязвимость будет исправлена в KeePass 2.54, запуск которого должен состояться в ближайшие несколько недель.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Вечерний 3DNews
Каждый будний вечер мы рассылаем сводку новостей без белиберды и рекламы. Две минуты на чтение — и вы в курсе главных событий.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
«Каждый кадр — картина!»: художник покорил фанатов The Elder Scrolls V: Skyrim версией Виндхельма на Unreal Engine 5 4 мин.
Олдскульная ролевая игра Sea of Stars получила бесплатное обновление Dawn of Equinox с кооперативом и не только 2 ч.
У разработчиков Rime и Song of Nunu закончились деньги — студия Tequila Works признала себя банкротом 2 ч.
Сервис простой интеграции голосового ИИ для малого и среднего бизнеса появился в России 2 ч.
YouTube тестирует создание ремиксов песен с помощью ИИ 2 ч.
Тариф Netflix с рекламой достиг 70 млн пользователей за два года 2 ч.
«РТК ИТ плюс» запустил импортонезависимую no-code платформу «Акола» 3 ч.
Сооснователь OpenAI Грег Брокман вернулся в компанию после длительного отпуска 3 ч.
Контур.Толк запустил бесплатную версию для онлайн-встреч без ограничений по времени 4 ч.
Samsung забыла оплатить домен и создала проблемы для пользователей Samsung Internet 4 ч.