KeePass 发布针对密码泄露安全漏洞的修复程序

周末，密码管理工具 KeePass 进行了更新，以解决一个高严重性漏洞，该漏洞允许威胁行为者以明文形式泄露主密码。

建议使用 KeePass 版本 2.x 的用户将其实例升级到版本 2.54 以消除威胁。使用 KeePass 1.x、Strongbox 或 KeePass XC 的用户不容易受到该缺陷的影响，因此如果他们不愿意，也不需要迁移到新版本。

无论出于何种原因无法应用补丁的用户都应该重置其主密码、删除故障转储和休眠文件以及可能保存其主密码片段的交换文件。在更极端的情况下，他们可以重新安装操作系统。

剩余的字符串

2023 月中旬，有消息称该密码管理工具容易受到 CVE-32784-XNUMX 的影响，该缺陷允许威胁行为者从应用程序的内存转储中部分提取 KeePass 主密码。主密码将以明文形式出现。该漏洞是由别名“vdohney”的威胁研究人员发现的，他还发布了该漏洞的概念验证。

正如研究人员所解释的，这个问题是在 SecureTextBoxEx 中发现的：“由于它处理输入的方式，当用户输入密码时，会出现剩余的字符串，”他们说。 “例如，当键入“密码”时，将产生以下剩余字符串：•a、••s、•••s、••••w、•••••o、•••••• r，•••••••d。”

因此，即使工作区被锁定或程序最近被关闭，攻击者也能够恢复几乎所有主密码字符。

理论上，威胁行为者可以部署信息窃取程序或类似的恶意软件变体来转储程序的内存，并将其与密码管理器的数据库一起发送回攻击者控制下的服务器。

从那里，他们就能够在没有时间紧迫的情况下泄露主密码。使用密码管理器，主密码用于解密和访问保存所有其他密码的数据库。