Сегодня 28 апреля 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

В менеджере паролей KeePass обнаружена уязвимость, позволяющая извлечь мастер-пароль

В популярном менеджере паролей KeePass обнаружена уязвимость, эксплуатация которой позволяет извлечь мастер-пароль из памяти приложения. За счёт этого злоумышленники, которым удалось скомпрометировать устройство жертвы, могут похить все хранящиеся в менеджере пароли, даже если база данных заблокирована.

 Источник изображения: hothardware.com

Источник изображения: hothardware.com

Упомянутая уязвимость отслеживается под идентификатором CVE-2023-3278. Её обнаружил исследователь в сфере информационной безопасности, известный под ником vdohney. Он опубликовал на GitHub краткое описание проблемы и PoC-эксплойт, предполагающий использование уязвимости KeePass. Проблема затрагивает KeePass 2.53 и более ранние версии приложения.

Дело в том, что в KeePass для ввода пароля используется поле SecureTextBoxEx, которое сохраняет вводимые пользователем символы в память в открытом виде. Это означает, что злоумышленнику достаточно завладеть дампом памяти, причём это может быть дамп процесса, файла подкачки pagefile.sys, файла гибернации hiberfil.sys, различных аварийных дампов или дампа памяти всей системы. Также не имеет значения, заблокировано или нет рабочее пространство и запущен ли KeePass.

Эксплойт тестировался в Windows, но, вероятно, его скорректированная версия будет работать и в macOS, так как уязвимость связана с тем, как приложение обрабатывает данные при вводе пароля, а не с самой операционной системой. Ожидается, что уязвимость будет исправлена в KeePass 2.54, запуск которого должен состояться в ближайшие несколько недель.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Видео: геймплейный трейлер эвакуационного шутера Hunger в декорациях чумной наполеоновской Европы 45 мин.
Нашумевшая Clair Obscur: Expedition 33 разошлась тиражом 1 млн копий всего за три дня после релиза 13 ч.
Знаменитая антипиратская кампания из 2000-х использовала спираченный шрифт 15 ч.
Исследователи Anthropic и Google поищут признаки сознания у ИИ — ещё недавно за подобное увольняли 20 ч.
Baidu обновила ИИ-модели Ernie 4.5 Turbo и Ernie X1 Turbo и снизила их стоимость на 80 и 50 % соответственно 27-04 07:11
Google ускорила Find My Device в 4 раза и скоро подключит UWB 27-04 05:39
Новая статья: The Elder Scrolls IV: Oblivion Remastered — врата ностальгии распахнуты. Рецензия 27-04 00:02
Новая статья: Gamesblender № 723: ремастер TES IV: Oblivion, дата выхода Ghost of Yotei и кибердемоны в новой Doom 26-04 23:51
Социальная сеть Threads получила новое доменное имя и обновила веб-версию приложения 26-04 23:04
У подразделения «Яндекса», включающего Yandex Cloud, выручка выросла более чем в 1,5 раза 26-04 22:45
SambaNova уволила 15 % персонала и переключилась на инференс в облаке 2 ч.
Видеокарта Asus ROG Astral GeForce RTX 5090 может сама определять провисание в системном блоке 2 ч.
Мощный ИИ-чип Huawei Ascend 910D имеет шансы превзойти по производительности чип Nvidia H100 4 ч.
Новая статья: Краткий обзор Samsung Galaxy Tab S10 FE: имеет ли смысл выпуск планшета-субфлагмана? 10 ч.
Скалы и вода — это не беда: CSignum разработала систему подземной и подводной беспроводной связи 10 ч.
Nokia тоже пострадает от новых пошлин США, но верит, что сможет заработать на рынке ИИ ЦОД 12 ч.
Apple готовит умные очки с Apple Intelligence, но без дополненной реальности 12 ч.
Microsoft выжила обитателей лагеря бездомных для строительства очередных ЦОД 13 ч.
Анонсирован стодолларовый смартфон Vivo Y37c с чипом Unisoc T7225 22 ч.
Китай рассчитывает, что к 2035 году на внутреннем авторынке будут доминировать электромобили 27-04 07:36