У мінулыя выхадныя інструмент кіравання паролямі KeePass быў абноўлены для ліквідацыі ўразлівасці высокай ступені сур'ёзнасці, якая дазваляла суб'ектам пагрозы выкрасці галоўны пароль у адкрытым выглядзе.
Карыстальнікам KeePass версіі 2.x рэкамендуецца перавесці свае асобнікі да версіі 2.54, каб ліквідаваць пагрозу. Тыя, хто выкарыстоўвае KeePass 1.x, Strongbox або KeePass XC, не ўразлівыя да недахопу і таму не павінны пераходзіць на новую версію, калі яны гэтага не жадаюць.
Тыя, хто не можа прымяніць патч па якой-небудзь прычыне, павінны скінуць свой галоўны пароль, выдаліць аварыйныя дампы і файлы спячага рэжыму, а таксама файлы падпампоўкі, якія могуць утрымліваць часткі іх галоўнага пароля. У больш крайніх выпадках яны могуць пераўсталяваць сваю аперацыйную сістэму.
Рэшткі радкоў
У сярэдзіне мая было абвешчана, што інструмент кіравання паролямі быў уразлівы да CVE-2023-32784, недахопу, які дазволіў удзельнікам пагрозы часткова атрымаць галоўны пароль KeePass з дампа памяці прыкладання. Галоўны пароль будзе адкрытым тэкстам. Уразлівасць была выяўлена даследчыкам пагроз пад псеўданімам «vdohney», які таксама выпусціў доказ канцэпцыі недахопу.
Папулярны ў цяперашні час
Як растлумачыў даследчык, праблема была знойдзена ў SecureTextBoxEx: «З-за спосабу апрацоўкі ўводу, калі карыстальнік уводзіць пароль, застануцца рэшткі радкоў», - сказалі яны. «Напрыклад, калі ўвесці «Пароль», гэта прывядзе да наступных рэшткаў радкоў: •a, ••s, •••s, ••••w, •••••o, •••••• r, •••••••d.”
Такім чынам, зламыснік зможа аднавіць практычна ўсе сімвалы майстар-пароля, нават калі працоўная вобласць заблакаваная або праграма была нядаўна зачынена.
Тэарэтычна, зламыснік можа разгарнуць Infostealer або аналагічны варыянт шкоднаснага ПЗ, каб выкінуць памяць праграмы і адправіць яе разам з базай дадзеных дыспетчара пароляў назад на сервер пад кантролем зламысніка.
Адтуль яны змогуць атрымаць галоўны пароль, не марнуючы часу. У менеджэрах пароляў галоўны пароль выкарыстоўваецца для расшыфроўкі і доступу да базы дадзеных, якая змяшчае ўсе астатнія паролі.
Via: BleepingComputer