В менеджере паролей KeePass исправлена уязвимость, позволяющая восстановить мастер-пароль
Разработчик менеджера паролей KeePass Доминик Райхл (Dominik Reichl) объявил, что исправил уязвимость, которая позволяла потенциальному злоумышленнику получить мастер-пароль в открытом виде из памяти программы. Эта уязвимость была обнаружена и опубликована исследователем под псевдонимом Vdohney на GitHub 17 мая 2023 года.
Уязвимость, получившая обозначение CVE-2023-32784 в базе уязвимостей, заключалась в том, что при вводе мастер-пароля в текстовое поле программы в памяти оставались фрагменты пароля, которые могли быть извлечены из дампа памяти программы, файла гибернации, файла подкачки или дампа оперативной памяти всей системы. При этом не имело значения, заблокирована ли рабочая область программы или даже запущена ли программа вообще. Единственное ограничение заключалось в том, что первый символ пароля не мог быть восстановлен.
Vdohney также опубликовал доказательство концепции (POC) эксплойта, который искал в дампе памяти шаблоны из фрагментов пароля и предлагал вероятный символ пароля для каждой позиции. Таким образом, злоумышленник мог получить доступ ко всем паролям, хранящимся в базе данных KeePass.
Райхл поблагодарил Vdohney за сообщение об уязвимости и сообщил, что она будет исправлена в версии KeePass 2.54, которая ожидается к выпуску в июле 2023 года. Он также предоставил тестовую версию обновления для проверки Vdohney, который подтвердил, что уязвимость больше не проявляется.
KeePass — это популярный бесплатный менеджер паролей с открытым исходным кодом, который помогает пользователям управлять своими паролями и хранит их в зашифрованном виде. Вся база данных паролей защищена одним мастер-паролем, который не должен быть известен никому, кроме пользователя. Поэтому утечка мастер-пароля считается самым худшим сценарием для менеджера паролей.
Эта уязвимость имеет особое значение для держателей криптовалютных активов, которые используют KeePass для хранения своих логинов и паролей от криптовалютных бирж, кошельков и других сервисов. Если злоумышленник получит доступ к мастер-паролю KeePass, он сможет похитить криптовалютные средства пользователя. Поэтому таким пользователям рекомендуется обновить свой KeePass до последней версии как только она станет доступна.
Разработчик менеджера паролей KeePass Доминик Райхл (Dominik Reichl) объявил, что исправил уязвимость, которая позволяла потенциальному злоумышленнику получить мастер-пароль в открытом виде из памяти программы. Эта уязвимость была обнаружена и опубликована исследователем под псевдонимом Vdohney на GitHub 17 мая 2023 года.
Уязвимость, получившая обозначение CVE-2023-32784 в базе уязвимостей, заключалась в том, что при вводе мастер-пароля в текстовое поле программы в памяти оставались фрагменты пароля, которые могли быть извлечены из дампа памяти программы, файла гибернации, файла подкачки или дампа оперативной памяти всей системы. При этом не имело значения, заблокирована ли рабочая область программы или даже запущена ли программа вообще. Единственное ограничение заключалось в том, что первый символ пароля не мог быть восстановлен.
Vdohney также опубликовал доказательство концепции (POC) эксплойта, который искал в дампе памяти шаблоны из фрагментов пароля и предлагал вероятный символ пароля для каждой позиции. Таким образом, злоумышленник мог получить доступ ко всем паролям, хранящимся в базе данных KeePass.
Райхл поблагодарил Vdohney за сообщение об уязвимости и сообщил, что она будет исправлена в версии KeePass 2.54, которая ожидается к выпуску в июле 2023 года. Он также предоставил тестовую версию обновления для проверки Vdohney, который подтвердил, что уязвимость больше не проявляется.
KeePass — это популярный бесплатный менеджер паролей с открытым исходным кодом, который помогает пользователям управлять своими паролями и хранит их в зашифрованном виде. Вся база данных паролей защищена одним мастер-паролем, который не должен быть известен никому, кроме пользователя. Поэтому утечка мастер-пароля считается самым худшим сценарием для менеджера паролей.
Эта уязвимость имеет особое значение для держателей криптовалютных активов, которые используют KeePass для хранения своих логинов и паролей от криптовалютных бирж, кошельков и других сервисов. Если злоумышленник получит доступ к мастер-паролю KeePass, он сможет похитить криптовалютные средства пользователя. Поэтому таким пользователям рекомендуется обновить свой KeePass до последней версии как только она станет доступна.
PoS: проблемы и перспективы. Часть
Одна из главных задач статьи – детализация первого материала с помощью как конкретных примеров, так и теоретически
Что такое сид-фраза и почему она
Фраза восстановления (также называемая сид-фразой) — это группа случайных слов, сгенерированных кошельком криптовалюты,
Различия Proof of Work и Proof of
Цена Ethereum выросла более чем на 40% в середине июля после объявления о сроках перехода с Proof of Work (PoW) на
Следует использовать сложные
В современном мире пароли требуются везде — для входа в социальные сети и почтовые службы, для взаимодействия с
Как увеличить хешрейт и
В этой статье мы расскажем об эффективности разблокировки LHR-видеокарт на примере работы известного майнера lolMiner.
Курс криптовалют
BTC
ETH
EOS
XRP
LTC