Savaitgalį slaptažodžių valdymo įrankis „KeePass“ buvo atnaujintas, kad būtų pašalintas didelio pažeidžiamumas, dėl kurio grėsmės veikėjai galėjo išfiltruoti pagrindinį slaptažodį aiškiu tekstu.
Vartotojams, turintiems KeePass 2.x versijas, patariama perkelti savo egzempliorius į 2.54 versiją, kad būtų pašalinta grėsmė. Tie, kurie naudoja „KeePass 1.x“, „Strongbox“ arba „KeePass XC“, nėra pažeidžiami dėl trūkumo, todėl jiems nereikia pereiti prie naujos versijos, jei jie to nenori.
Tie, kurie dėl kokių nors priežasčių negali pritaikyti pataisos, turėtų iš naujo nustatyti pagrindinį slaptažodį, ištrinti strigčių ištraukas ir užmigdymo failus bei apsikeisti failais, kuriuose gali būti pagrindinės slaptažodžio dalys. Ekstremalesniais atvejais jie gali iš naujo įdiegti operacinę sistemą.
Likusios stygos
Gegužės viduryje buvo paskelbta, kad slaptažodžių valdymo įrankis buvo pažeidžiamas CVE-2023-32784, o tai leido grėsmės veikėjams iš dalies išgauti pagrindinį „KeePass“ slaptažodį iš programos atminties išklotinės. Pagrindinis slaptažodis būtų pateiktas aiškiu tekstu. Pažeidžiamumą aptiko grėsmių tyrinėtojas, slapyvardžiu „vdohney“, kuris taip pat išleido trūkumo koncepcijos įrodymą.
Kaip paaiškino tyrėjas, problema buvo rasta „SecureTextBoxEx“: „Dėl to, kaip jis apdoroja įvestį, kai vartotojas įveda slaptažodį, bus likusių eilučių“, - sakė jie. „Pavyzdžiui, kai įvedamas „Slaptažodis“, bus šios likusios eilutės: •a, ••s, •••s, ••••w, •••••o, •••••• r, ••••••••d.
Todėl užpuolikas galėtų atkurti beveik visus pagrindinio slaptažodžio simbolius, net jei darbo sritis užrakinta arba programa neseniai buvo išjungta.
Teoriškai grėsmės veikėjas gali įdiegti informacijos vagystę ar panašų kenkėjiškos programos variantą, kad išmestų programos atmintį ir išsiųstų ją kartu su slaptažodžių tvarkyklės duomenų baze atgal į užpuoliko valdomą serverį.
Iš ten jie galėtų išfiltruoti pagrindinį slaptažodį, neleisdami laiko. Naudojant slaptažodžių tvarkykles, pagrindinis slaptažodis naudojamas iššifruoti ir pasiekti duomenų bazę, kurioje yra visi kiti slaptažodžiai.
"Via: BleepingComputer
English
Arabic
Belarusian
Bengali
Bosnian
Bulgarian
Chinese (Simplified)
Croatian
Czech
Danish
Dutch
English
Estonian
Filipino
Finnish
French
Georgian
German
Greek
Gujarati
Hausa
Hebrew
Hindi
Hmong
Hungarian
Igbo
Indonesian
Italian
Japanese
Javanese
Kazakh
Korean
Kurdish (Kurmanji)
Kyrgyz
Lao
Latvian
Lithuanian
Macedonian
Malagasy
Norwegian
Persian
Polish
Portuguese
Punjabi
Romanian
Russian
Serbian
Slovak
Slovenian
Spanish
Swedish
Thai
Turkish
Ukrainian
Vietnamese
Yoruba