Сегодня 29 апреля 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Теги → keepass

В менеджере паролей KeePass обнаружена уязвимость, позволяющая извлечь мастер-пароль

В популярном менеджере паролей KeePass обнаружена уязвимость, эксплуатация которой позволяет извлечь мастер-пароль из памяти приложения. За счёт этого злоумышленники, которым удалось скомпрометировать устройство жертвы, могут похить все хранящиеся в менеджере пароли, даже если база данных заблокирована.

 Источник изображения: hothardware.com

Источник изображения: hothardware.com

Упомянутая уязвимость отслеживается под идентификатором CVE-2023-3278. Её обнаружил исследователь в сфере информационной безопасности, известный под ником vdohney. Он опубликовал на GitHub краткое описание проблемы и PoC-эксплойт, предполагающий использование уязвимости KeePass. Проблема затрагивает KeePass 2.53 и более ранние версии приложения.

Дело в том, что в KeePass для ввода пароля используется поле SecureTextBoxEx, которое сохраняет вводимые пользователем символы в память в открытом виде. Это означает, что злоумышленнику достаточно завладеть дампом памяти, причём это может быть дамп процесса, файла подкачки pagefile.sys, файла гибернации hiberfil.sys, различных аварийных дампов или дампа памяти всей системы. Также не имеет значения, заблокировано или нет рабочее пространство и запущен ли KeePass.

Эксплойт тестировался в Windows, но, вероятно, его скорректированная версия будет работать и в macOS, так как уязвимость связана с тем, как приложение обрабатывает данные при вводе пароля, а не с самой операционной системой. Ожидается, что уязвимость будет исправлена в KeePass 2.54, запуск которого должен состояться в ближайшие несколько недель.


window-new
Soft
Hard
Тренды 🔥
Nvidia выпустила ещё одно экстренное обновление драйвера для устранения массы проблем у GeForce RTX 5000 52 мин.
Китайскому Университету Цинхуа удалось переманить видного исследователя ИИ из Microsoft 53 мин.
Indiana Jones and the Great Circle впервые возглавила недельный чарт продаж в США, но лишь благодаря релизу на PS5 3 ч.
В Москве создадут «госозеро» обезличенных персональных данных для обучения ИИ 3 ч.
В финансовом отчёте Nacon нашли указание на новый перенос Terminator: Survivors — симулятор выживания по «Терминатору» задержится до 2026 года 3 ч.
ChatGPT стал «слишком льстивым и раздражающим», признал Сэм Альтман 4 ч.
Зелёная сова против людей: Duolingo начала увольнять сотрудников, которых может заменить ИИ 4 ч.
Последний шанс обновить смартфон LG: cерверы прекратят работу 30 июня 4 ч.
Суд продлил конкурсное производство в российском ООО «Гугл» до октября 5 ч.
Devolver анонсировала Mycopunk — кооперативный шутер про грибное нашествие планетарного масштаба 5 ч.