V programu KeePass byla objevena zranitelnost, která dovoluje útočníkovi získat hlavní (master) heslo a s ním i přístup k heslům. Zranitelnost byla označena jako CVE-2023–32784 a nachází se v aplikaci KeePass pro Windows ve verzích starších než 2.54. Vznikla už také utilita KeePass 2.X Master Password Dumper, která umožňuje problém zneužít a heslo získat.
Problém je způsoben použitím vlastního textového pole (SecureTextBoxEx) pro zadávání hesla v KeePass 2.X. Toto textové pole se nepoužívá pouze pro zadávání hlavního hesla, ale i na jiných místech, například v polích pro úpravu hesel. To útočníkovi umožňuje jeho použití k obnovení původního obsahu.
Heslo je možné v čitelné podobě získat z výpisu paměti, přestože je aplikace uzamčená nebo už neběží. Výpis paměti je možné získat z procesu KeePass, odkládacího souboru, hibernačního souboru nebo výpis paměti celého systému. Objevitel zranitelnosti upozorňuje, že heslo lze získat pouze tehdy, pokud bylo napsáno na klávesnici, nikoli zkopírováno ze schránky.
Ve verzi 2.54 je pro zmírnění dopadů použito odlišné API a/nebo náhodné vkládání řetězců. Tato verze ovšem zatím ještě nevyšla a uvolnění se plánuje na začátek června.
ČLÁNKY DO MAILU