Сегодня 29 апреля 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Теги → keepass

В менеджере паролей KeePass обнаружена уязвимость, позволяющая извлечь мастер-пароль

В популярном менеджере паролей KeePass обнаружена уязвимость, эксплуатация которой позволяет извлечь мастер-пароль из памяти приложения. За счёт этого злоумышленники, которым удалось скомпрометировать устройство жертвы, могут похить все хранящиеся в менеджере пароли, даже если база данных заблокирована.

 Источник изображения: hothardware.com

Источник изображения: hothardware.com

Упомянутая уязвимость отслеживается под идентификатором CVE-2023-3278. Её обнаружил исследователь в сфере информационной безопасности, известный под ником vdohney. Он опубликовал на GitHub краткое описание проблемы и PoC-эксплойт, предполагающий использование уязвимости KeePass. Проблема затрагивает KeePass 2.53 и более ранние версии приложения.

Дело в том, что в KeePass для ввода пароля используется поле SecureTextBoxEx, которое сохраняет вводимые пользователем символы в память в открытом виде. Это означает, что злоумышленнику достаточно завладеть дампом памяти, причём это может быть дамп процесса, файла подкачки pagefile.sys, файла гибернации hiberfil.sys, различных аварийных дампов или дампа памяти всей системы. Также не имеет значения, заблокировано или нет рабочее пространство и запущен ли KeePass.

Эксплойт тестировался в Windows, но, вероятно, его скорректированная версия будет работать и в macOS, так как уязвимость связана с тем, как приложение обрабатывает данные при вводе пароля, а не с самой операционной системой. Ожидается, что уязвимость будет исправлена в KeePass 2.54, запуск которого должен состояться в ближайшие несколько недель.


window-new
Soft
Hard
Тренды 🔥
Meta запустила самостоятельное ИИ-приложение для конкуренции с ChatGPT и другими ИИ-ботами 40 мин.
Rockstar пожертвовала особенностями San Andreas, чтобы сделать GTA IV игрой нового поколения — культовому боевику Rockstar исполнилось 17 лет 2 ч.
Google готовит Gemini для детей — ИИ будет под контролем родителей 3 ч.
Акции Spotify рухнули, несмотря на рост числа подписчиков — прибыль не оправдала ожиданий 3 ч.
Миллионы устройств с Apple AirPlay оказались уязвимы ко взлому через Wi-Fi, и вряд ли это исправят 3 ч.
Borderlands 4 не выйдет 23 сентября — игру перенесли на более ранний срок 3 ч.
«Наиболее киберпанковый способ игры в "Киберпанк"»: Nintendo показала новый геймплей Cyberpunk 2077 на Switch 2 4 ч.
В резервных копиях Android теперь будут сохраняться SIM-карты 4 ч.
UserGate разделила решения SIEM и Log Analyzer на отдельные продукты 6 ч.
Китайскому Университету Цинхуа удалось переманить видного исследователя ИИ из Microsoft 7 ч.