Hafta sonu boyunca, şifre yönetimi aracı KeePass, tehdit aktörlerinin ana şifreyi açık metin olarak sızdırmasına olanak tanıyan yüksek önemdeki bir güvenlik açığını giderecek şekilde güncellendi.
KeePass sürüm 2.x'e sahip kullanıcıların, tehdidi ortadan kaldırmak için bulut sunucularını sürüm 2.54'e getirmeleri önerilir. KeePass 1.x, Strongbox veya KeePass XC kullananlar bu kusura karşı savunmasız değildir ve bu nedenle istemezlerse yeni sürüme geçmeleri gerekmez.
Herhangi bir nedenle yamayı uygulayamayanlar ana parolalarını sıfırlamalı, kilitlenme dökümlerini ve hazırda bekletme dosyalarını silmeli ve ana parolalarının parçalarını tutabilecek dosyaları değiştirmelidir. Daha ekstrem durumlarda işletim sistemlerini yeniden kurabilirler.
Artık dizeler
Mayıs ortasında, şifre yönetimi aracının, tehdit aktörlerinin KeePass ana şifresini uygulamanın bellek dökümünden kısmen çıkarmasına olanak tanıyan bir kusur olan CVE-2023-32784'e karşı savunmasız olduğu açıklandı. Ana şifre açık metin olarak gelecektir. Güvenlik açığı, "vdohney" takma adını kullanan bir tehdit araştırmacısı tarafından keşfedildi ve aynı zamanda kusur için bir kavram kanıtı da yayınladı.
Araştırmacının açıkladığı gibi sorun SecureTextBoxEx'te bulundu: "Girdileri işleme şekli nedeniyle, kullanıcı şifreyi yazdığında kalan dizeler olacak" dediler. “Örneğin, “Şifre” yazıldığında, şu kalan dizeler ortaya çıkacaktır: •a, ••s, •••s, ••••w, •••••o, •••••• r, •••••••d.”
Sonuç olarak, bir saldırgan, çalışma alanı kilitli olsa veya program yakın zamanda kapatılmış olsa bile neredeyse tüm ana parola karakterlerini kurtarabilir.
Teorik olarak, bir tehdit aktörü, programın belleğini boşaltmak ve parola yöneticisinin veritabanıyla birlikte saldırganın kontrolü altındaki bir sunucuya geri göndermek için bir bilgi hırsızı veya benzer bir kötü amaçlı yazılım türevi dağıtabilir.
Oradan, zaman kısıtlamasına gerek kalmadan ana şifreyi dışarı sızdırabilecekler. Parola yöneticilerinde, diğer tüm parolaların bulunduğu veritabanının şifresini çözmek ve bu veritabanına erişmek için bir ana parola kullanılır.
Via BleepingComputer
English
Arabic
Belarusian
Bengali
Bosnian
Bulgarian
Chinese (Simplified)
Croatian
Czech
Danish
Dutch
English
Estonian
Filipino
Finnish
French
Georgian
German
Greek
Gujarati
Hausa
Hebrew
Hindi
Hmong
Hungarian
Igbo
Indonesian
Italian
Japanese
Javanese
Kazakh
Korean
Kurdish (Kurmanji)
Kyrgyz
Lao
Latvian
Lithuanian
Macedonian
Malagasy
Norwegian
Persian
Polish
Portuguese
Punjabi
Romanian
Russian
Serbian
Slovak
Slovenian
Spanish
Swedish
Thai
Turkish
Ukrainian
Vietnamese
Yoruba